Ngày 17 tháng 1 năm 2023Ravie Lakshmanan Bảo mật phần mềm / Chuỗi cung ứng
Một diễn viên đe dọa theo tên Lolip0p đã tải ba gói giả mạo lên kho lưu trữ Chỉ mục gói Python (PyPI) được thiết kế để loại bỏ phần mềm độc hại trên các hệ thống của nhà phát triển bị xâm nhập.
Các gói – có tên colorslib (phiên bản 4.6.11 và 4.6.12), httpslib (phiên bản 4.6.9 và 4.6.11) và libhttps (phiên bản 4.6.12) – của tác giả trong khoảng thời gian từ ngày 7 tháng 1 năm 2023 đến ngày 12 tháng 1, 2023. Kể từ đó, chúng đã bị gỡ khỏi PyPI nhưng không phải trước khi chúng được tải xuống tích lũy hơn 550 lần.
Các mô-đun đi kèm với các tập lệnh thiết lập giống hệt nhau được thiết kế để gọi PowerShell và chạy tệp nhị phân độc hại (“Oxzy.exe”) được lưu trữ trên Dropbox, Fortinet đã tiết lộ trong một báo cáo được công bố vào tuần trước.
Tệp thực thi, sau khi được khởi chạy, sẽ kích hoạt truy xuất giai đoạn tiếp theo, cũng là tệp nhị phân có tên update.exe, chạy trong thư mục tạm thời của Windows (“%USER%\AppData\Local\Temp\”).
update.exe bị các nhà cung cấp phần mềm chống vi-rút trên VirusTotal gắn cờ là phần mềm đánh cắp thông tin cũng có khả năng loại bỏ các tệp nhị phân bổ sung, một trong số đó được Microsoft phát hiện là Wacatac.
Nhà sản xuất Windows mô tả trojan là một mối đe dọa “có thể thực hiện một số hành động do tin tặc độc hại lựa chọn trên PC của bạn”, bao gồm cả việc cung cấp phần mềm tống tiền và các tải trọng khác.
Nhà nghiên cứu Jin Lee của Fortinet FortiGuard Labs cho biết: “Tác giả cũng định vị từng gói là hợp pháp và sạch sẽ bằng cách đưa vào một mô tả dự án thuyết phục”. “Tuy nhiên, các gói này tải xuống và chạy tệp thực thi nhị phân độc hại.”
Tiết lộ được đưa ra vài tuần sau khi Fortinet khai quật được hai gói giả mạo khác có tên là Shaderz và aioconsol có khả năng thu thập và lọc thông tin cá nhân nhạy cảm tương tự.
Các phát hiện một lần nữa chứng minh dòng hoạt động độc hại ổn định được ghi lại trong các kho lưu trữ gói nguồn mở phổ biến, trong đó các tác nhân đe dọa đang lợi dụng các mối quan hệ tin cậy để cài đặt mã nhiễm độc nhằm khuếch đại và mở rộng phạm vi lây nhiễm.
Người dùng nên thận trọng khi tải xuống và chạy các gói từ các tác giả không đáng tin cậy để tránh trở thành con mồi của các cuộc tấn công chuỗi cung ứng.
