นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจอันตรายซึ่งถูกอัปโหลดขึ้นไปยัง Python Package Index (PyPI) repository ซึ่งทำหน้าที่เป็นเครื่องมือตรวจสอบ เพื่อยืนยันความถูกต้องของ email addresses ที่ถูกขโมยมาว่าสามารถใช้งานกับ API ของ TikTok และ Instagram ได้หรือไม่
ปัจจุบันแพ็กเกจทั้งสามรายการนี้ ไม่สามารถดาวน์โหลดได้บน PyPI แล้ว โดยชื่อของแพ็กเกจ Python มีดังต่อไปนี้ :
- checker-SaGaF (ดาวน์โหลด 2,605 ครั้ง)
- steinlurks (ดาวน์โหลด 1,049 ครั้ง)
- sinnercore (ดาวน์โหลด 3,300 ครั้ง)
Olivia Brown นักวิจัยของ Socket ระบุว่า "แพ็กเกจ 'checker-SaGaF' จะทำหน้าที่ในการตรวจสอบว่าอีเมลนั้นมีการเชื่อมโยงกับบัญชีของ TikTok และ Instagram หรือไม่"
โดยเฉพาะ แพ็กเกจนี้ถูกออกแบบมาเพื่อส่ง HTTP POST request ไปยัง API การกู้คืนรหัสผ่านของ TikTok และการเข้าสู่ระบบของ Instagram เพื่อตรวจสอบว่าอีเมลที่กรอกเข้าไปนั้นถูกต้องหรือไม่ ซึ่งหมายความว่ามีบัญชีที่ผูกกับอีเมลดังกล่าวนั้นอยู่จริง
Brown ระบุว่า "เมื่อแฮ็กเกอร์ได้ข้อมูลอีเมลมาแล้ว พวกเขาสามารถข่มขู่เหยื่อด้วยการเปิดเผยข้อมูลส่วนตัว หรือส่งสแปมโจมตีด้วย fake report เพื่อทำให้บัญชีถูกระงับ หรือแค่ยืนยันเป้าหมายก่อนที่จะเริ่มดำเนินการโจมตีด้วยเทคนิค credential stuffing หรือ password spraying"
"รายชื่อผู้ใช้งานที่ผ่านการตรวจสอบแล้วก็มักถูกนำไปขายต่อบน dark web เพื่อทำกำไรอีกด้วย แม้การรวบรวมรายชื่ออีเมลที่ยังใช้งานอยู่จะดูเหมือนไม่เป็นอันตราย แต่ข้อมูลเหล่านี้สามารถนำไปใช้ และเร่งกระบวนการโจมตีทั้งหมด อีกทั้งยังช่วยหลีกเลี่ยงการตรวจจับได้ ด้วยการมุ่งเป้าไปที่บัญชีที่ยืนยันแล้วว่ามีการใช้งานจริงเท่านั้น"
สำหรับแพ็กเกจที่สองชื่อว่า "steinlurks" ก็ใช้วิธีคล้ายกัน โดยมุ่งเป้าไปที่บัญชี Instagram ผ่านการส่ง HTTP POST request ปลอม โดยเลียนแบบแอป Instagram บน Android เพื่อหลบเลี่ยงการตรวจจับ ซึ่งแพ็กเกจนี้ใช้วิธีการเข้าถึง API ที่แตกต่างออกไป
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
ส่วนแพ็กเกจ "sinnercore" มีเป้าหมายเพื่อ trigger forgot password flow ของ Instagram โดยใช้ชื่อผู้ใช้ (username) ที่ระบุ และส่ง HTTP request ปลอมไปยัง API endpoint ที่ชื่อว่า "b.i.instagram[.]com/api/v1/accounts/send_password_reset/" โดยภายใน HTTP request จะระบุชื่อผู้ใช้งานของเป้าหมายด้วย
Brown อธิบายเพิ่มเติมว่า "ยังมีฟังก์ชันที่มุ่งเป้าไปที่ Telegram อีกด้วย เช่น การดึงข้อมูลชื่อผู้ใช้, รหัสผู้ใช้, ประวัติส่วนตัว, สถานะการเป็นผู้ใช้งานแบบพรีเมียม และคุณสมบัติอื่น ๆ"
"บางส่วนของ sinnercore มุ่งเน้นไปที่ crypto utilities เช่น การดึงราคาตลาดแบบ Real-time จาก Binance หรือการแปลงสกุลเงิน นอกจากนี้ยังมุ่งเป้าไปที่นักพัฒนา PyPI ด้วยการดึงข้อมูลรายละเอียดของแพ็กเกจต่าง ๆ ที่น่าจะถูกใช้เพื่อสร้างโปรไฟล์นักพัฒนาปลอม หรือแอบอ้างเป็นนักพัฒนา"
การเปิดเผยครั้งนี้เกิดขึ้นในขณะที่บริษัท ReversingLabs ได้รายงานรายละเอียดเกี่ยวกับของแพ็กเกจที่เป็นอันตรายอีกตัวหนึ่ง ที่ชื่อ "dbgpkg" ซึ่งปลอมตัวเป็น debugging utility แต่แท้จริงแล้วกลับฝัง backdoor ลงในระบบของนักพัฒนา เพื่อเปิดช่องให้สามารถเรียกใช้คำสั่งจากระยะไกล และขโมยข้อมูลออกไปได้ แพ็กเกจนี้ไม่สามารถเข้าถึงได้แล้วในขณะนี้ แต่คาดว่ามีการดาวน์โหลดไปแล้วประมาณ 350 ครั้ง
ที่น่าสนใจก็คือ พบว่าแพ็กเกจนี้มี payload เดียวกันกับที่ฝังอยู่ใน "discordpydebug" ซึ่งเคยถูกบริษัท Socket ตรวจพบเมื่อต้นเดือนพฤษภาคมที่ผ่านมา และ ReversingLabs ยังระบุอีกว่า พวกเขาพบแพ็กเกจที่สามที่ชื่อว่า "requestsdev" ซึ่งเชื่อว่าเป็นส่วนหนึ่งของแคมเปญเดียวกัน โดยมีการดาวน์โหลดไปแล้ว 76 ครั้ง ก่อนที่จะถูกลบออกไป
การวิเคราะห์เพิ่มเติมพบว่าเทคนิค backdoor ในแพ็กเกจเหล่านี้ใช้เครื่องมือที่ชื่อ GSocket โดยมีลักษณะคล้ายกับกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Phoenix Hyena (หรือที่รู้จักอีกชื่อว่า DumpForums หรือ Silent Crow) ซึ่งเป็นกลุ่ม hacktivist ที่มีประวัติการโจมตีระบบของหน่วยงานในรัสเซีย รวมถึงบริษัท Doctor Web หลังจากเกิดสงครามรัสเซีย-ยูเครนในช่วงต้นปี 2022
แม้ว่าการระบุผู้กระทำผิดจะยังไม่สามารถยืนยันได้อย่างแน่ชัด แต่ทาง ReversingLabs ระบุว่า การดำเนินการเหล่านี้อาจเป็นฝีมือของแฮ็กเกอร์ copycat ก็เป็นได้ อย่างไรก็ตาม การใช้ payload เดียวกัน และข้อเท็จจริงที่ว่าแพ็กเกจ "discordpydebug" ถูกอัปโหลดครั้งแรกตั้งแต่เดือนมีนาคม 2022 ก็ยิ่งทำให้มีความเป็นไปได้ที่อาจเชื่อมโยงกับกลุ่ม Phoenix Hyena
Karlo Zanki นักวิจัยด้านความปลอดภัย ได้ให้ความเห็นว่า "เทคนิคอันตรายที่ใช้ในแคมเปญนี้ เช่น การฝัง backdoor เฉพาะทาง และการใช้เทคนิค ‘function wrapping’ ของ Python แสดงให้เห็นว่าแฮ็กเกอร์ที่อยู่เบื้องหลังมีความชำนาญสูง และระมัดระวังเป็นอย่างมาก เพื่อหลีกเลี่ยงการถูกตรวจจับ"
"การใช้เทคนิค function wrapping ร่วมกับเครื่องมืออย่าง Global Socket Toolkit แสดงให้เห็นว่าแฮ็กเกอร์ที่อยู่เบื้องหลังมีเป้าหมายเพื่อแฝงตัวอยู่ในระบบที่ถูกโจมตีให้ได้นานที่สุด โดยไม่ถูกสังเกตเห็น"
การค้นพบนี้ยังเกิดขึ้นพร้อมกับการตรวจพบแพ็กเกจ npm ที่เป็นอันตรายที่ชื่อว่า "koishi-plugin-pinhaofa" ซึ่งทำหน้าที่ติดตั้ง backdoor สำหรับขโมยข้อมูลลงใน chat bot ที่ใช้ Koishi framework และขณะนี้แพ็กเกจดังกล่าวไม่สามารถดาวน์โหลดได้แล้วจาก npm
Kirill Boychenko นักวิจัยด้านความปลอดภัย ระบุว่า "ปลั๊กอินนี้ถูกโปรโมตว่าเป็นเครื่องมือช่วยตรวจสอบ และแก้ไขการสะกดคำอัตโนมัติ แต่จริง ๆ แล้วมันจะสแกนทุกข้อความที่ส่งเข้ามาเพื่อค้นหา hexadecimal string ที่มีความยาวแปดตัวอักษร เมื่อพบ มันจะส่งข้อความทั้งหมดที่อาจมีข้อมูล secrets หรือข้อมูล credentials ที่ฝังอยู่ ไปยังบัญชี QQ ที่ถูก hard-coded ไว้ล่วงหน้า"
โดยปกติ "ค่าสตริง hex ที่มีความยาว 8 ตัวอักษร มักจะใช้แทน Git commit hash แบบสั้น, JWT หรือ API tokens ที่ถูกตัดทอน, ค่า checksum แบบ CRC-32, ส่วนต้นของ GUID หรือหมายเลขประจำเครื่องของอุปกรณ์ ซึ่งข้อมูลเหล่านี้อาจถูกนำไปใช้ในการเข้าถึงระบบอื่น ๆ หรือระบุตำแหน่งทรัพยากรภายในระบบได้ ด้วยการเก็บรวบรวมข้อความทั้งหมด แฮ็กเกอร์ยังสามารถดึงข้อมูล secrets ที่อยู่รอบ ๆ อย่างเช่น รหัสผ่าน, URL, ข้อมูล credentials, tokens หรือรหัสต่าง ๆ ไปพร้อมกันได้อีกด้วย"
ที่มา : thehackernews.com
You must be logged in to post a comment.