Ngày 14 tháng 2 năm 2023Ravie Lakshmanan Tiền điện tử / Bảo mật phần mềm
Các tác nhân độc hại đã xuất bản hơn 451 gói Python duy nhất trên kho lưu trữ Chỉ mục gói Python (PyPI) chính thức nhằm cố gắng lây nhiễm phần mềm độc hại clipper vào các hệ thống của nhà phát triển.
Công ty bảo mật chuỗi cung ứng phần mềm Phylum, công ty đã phát hiện ra các thư viện, cho biết hoạt động đang diễn ra là phần tiếp theo của một chiến dịch ban đầu được tiết lộ vào tháng 11 năm 2022.
Vectơ ban đầu đòi hỏi phải sử dụng tính năng đánh máy để bắt chước các gói phổ biến như beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learning, scrapy, selenium, solana và tensorflow, trong số những gói khác.
“Sau khi cài đặt, một tệp JavaScript độc hại sẽ được thả vào hệ thống và được thực thi trong nền của bất kỳ phiên duyệt web nào”, Phylum cho biết trong một báo cáo được công bố vào năm ngoái. “Khi nhà phát triển sao chép địa chỉ tiền điện tử, địa chỉ đó sẽ được thay thế trong khay nhớ tạm bằng địa chỉ của kẻ tấn công.”
Điều này đạt được bằng cách tạo tiện ích mở rộng trình duyệt web Chromium trong thư mục Windows AppData và ghi vào đó Javascript giả mạo và tệp manifest.json yêu cầu quyền của người dùng để truy cập và sửa đổi khay nhớ tạm.
Các trình duyệt web được nhắm mục tiêu bao gồm Google Chrome, Microsoft Edge, Brave và Opera, với phần mềm độc hại sửa đổi lối tắt trình duyệt để tải tiện ích bổ sung tự động khi khởi chạy bằng cách sử dụng công tắc dòng lệnh “–load-extension”.
Bộ gói Python mới nhất thể hiện một phương thức hoạt động tương tự, nếu không muốn nói là giống nhau và được thiết kế để hoạt động như một ví tiền điện tử dựa trên khay nhớ tạm thay thế phần mềm độc hại. Điều đã thay đổi là kỹ thuật che giấu được sử dụng để che giấu mã JavaScript.
Mục tiêu cuối cùng của các cuộc tấn công là chiếm quyền điều khiển các giao dịch tiền điện tử do nhà phát triển bị xâm nhập khởi xướng và chuyển hướng chúng đến các ví do kẻ tấn công kiểm soát thay vì người nhận dự kiến.
“Kẻ tấn công này đã tăng đáng kể dấu chân của chúng trong pypi thông qua tự động hóa,” Phylum lưu ý. “Làm ngập hệ sinh thái với các gói như thế này sẽ tiếp tục.”
Các phát hiện trùng khớp với một báo cáo từ Sonatype, đã tìm thấy 691 gói độc hại trong sổ đăng ký npm và 49 gói độc hại trong PyPI chỉ trong tháng 1 năm 2023.
Sự phát triển một lần nữa minh họa mối đe dọa ngày càng tăng mà các nhà phát triển phải đối mặt từ các cuộc tấn công chuỗi cung ứng, với các đối thủ dựa vào các phương pháp như đánh máy để lừa người dùng tải xuống các gói lừa đảo.
