นักวิจัยด้านความปลอดภัยไซเบอร์พบแพ็กเกจอันตรายบน PyPI ที่แอบอ้างว่าเป็นแอปพลิเคชันที่เกี่ยวข้องกับบล็อกเชน Solana แต่จริง ๆ แล้วมันมีฟังก์ชันที่ออกแบบมาเพื่อขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนา แพ็กเกจนี้ชื่อว่า solana-token ซึ่งปัจจุบันไม่สามารถดาวน์โหลดได้จาก PyPI แล้ว แต่แพ็กเกจนี้ถูกดาวน์โหลดไปแล้วถึง 761 ครั้ง โดยพบว่าแพ็กเกจนี้ถูกเผยแพร่ครั้งแรกในเดือนเมษายน 2024 โดยใช้ระบบการตั้งเวอร์ชันที่แตกต่างจากมาตรฐานทั่วไป
เมื่อถูกติดตั้ง แพ็กเกจอันตรายจะพยายามขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนาจากเครื่องของนักพัฒนาไปยัง IP Address ที่กำหนดไว้ล่วงหน้า โดยเฉพาะแพ็กเกจนี้จะคัดลอก และขโมยซอร์สโค้ดจากไฟล์ทั้งหมดในสแต็กของการประมวลผล Python โดยอ้างว่าเป็นฟังก์ชันบล็อกเชนที่ชื่อ "register_node()" พฤติกรรมที่ผิดปกตินี้แสดงให้เห็นว่าผู้โจมตีอาจมุ่งเป้าไปที่การขโมยข้อมูลลับที่เกี่ยวข้องกับคริปโต ซึ่งอาจถูกตั้งค่าไว้ล่วงหน้าในระหว่างการพัฒนาโปรแกรมที่มีฟังก์ชันอันตรายนี้อยู่
นักพัฒนาที่ต้องการสร้างบล็อกเชนของตัวเองน่าจะเป็นกลุ่มเป้าหมายของผู้โจมตีที่อยู่เบื้องหลังแพ็กเกจนี้ ซึ่งการประเมินนี้อ้างอิงจากชื่อแพ็กเกจ และฟังก์ชันที่ถูกสร้างไว้ภายใน.
วิธีการที่แพ็กเกจนี้ถูกเผยแพร่ไปยังผู้ใช้งานยังไม่เป็นที่แน่ชัด แต่มีความเป็นไปได้ว่าแพ็กเกจนี้อาจถูกโปรโมทในแพลตฟอร์มที่มุ่งเน้นไปยังนักพัฒนา
การค้นพบนี้แสดงให้เห็นว่า สกุลเงินดิจิทัลยังคงเป็นเป้าหมายหลักของผู้โจมตี ซึ่งทำให้การตรวจสอบแพ็กเกจทุกตัวอย่างละเอียดก่อนใช้งานเป็นสิ่งที่นักพัฒนาควรให้ความสำคัญ
Zanki ระบุว่า ทีมพัฒนาควรเฝ้าระวังการดำเนินการที่น่าสงสัย หรือการเปลี่ยนแปลงที่ไม่สามารถอธิบายได้ทั้งในซอฟต์แวร์โอเพนซอร์ส และซอฟต์แวร์เชิงพาณิชย์ของ third-party เพื่อป้องกันการโจมตีแบบ supply chain การหยุดโค้ดที่เป็นอันตรายก่อนที่จะเข้าสู่ระบบ, การพัฒนาระบบอย่างปลอดภัย จะช่วยให้ทีมสามารถป้องกันความเสียหายได้
ที่มา : thehackernews
You must be logged in to post a comment.