Thông tin chi tiết đã xuất hiện về các nhà điều hành đằng sau chiến dịch lừa đảo được biết đến đầu tiên đặc biệt nhắm vào Chỉ mục gói Python (PyPI), kho phần mềm chính thức của bên thứ ba cho ngôn ngữ lập trình.
Kết nối nó với một tác nhân đe dọa được theo dõi là JuiceLedgercông ty an ninh mạng SentinelOne, cùng với Checkmarx, mô tả nhóm này là một thực thể tương đối mới xuất hiện vào đầu năm 2022.
Các chiến dịch “khóa thấp” ban đầu được cho là đã liên quan đến việc sử dụng các ứng dụng trình cài đặt Python giả mạo để phân phối phần mềm độc hại dựa trên .NET có tên JuiceStealer được thiết kế để lấy mật khẩu và dữ liệu nhạy cảm khác từ trình duyệt web của nạn nhân.
Các cuộc tấn công đã nhận được một sự thay đổi đáng kể vào tháng trước khi các diễn viên JuiceLedger nhắm mục tiêu vào những người đóng góp gói PyPi trong một chiến dịch lừa đảo, dẫn đến sự xâm nhập của ba gói với phần mềm độc hại.
Nhà nghiên cứu Amitai Ben Shushan Ehrlich của SentinelOne cho biết: “Cuộc tấn công chuỗi cung ứng vào những người đóng góp gói PyPI dường như là sự leo thang của một chiến dịch bắt đầu vào đầu năm nay.
Công ty an ninh mạng cho biết thêm, mục tiêu có lẽ là để lây nhiễm cho một lượng lớn khán giả thông qua việc kết hợp các gói bị trojanized và lỗi chính tả.
Sự phát triển này làm tăng thêm những lo ngại xung quanh vấn đề bảo mật của hệ sinh thái nguồn mở, khiến Google phải thực hiện các bước để công bố phần thưởng bằng tiền cho việc tìm ra sai sót trong các dự án của mình có sẵn trong miền công cộng.
Với việc các cuộc tấn công chiếm đoạt tài khoản trở thành một phương tiện lây nhiễm phổ biến cho những kẻ tấn công tìm cách đầu độc chuỗi cung ứng phần mềm, PyPI đã bắt đầu áp đặt yêu cầu xác thực hai yếu tố (2FA) bắt buộc đối với các dự án được coi là “quan trọng”.
SentinelOne cho biết: “JuiceLedger dường như đã phát triển rất nhanh từ việc lây nhiễm cơ hội, quy mô nhỏ chỉ vài tháng trước đây cho đến việc tiến hành một cuộc tấn công chuỗi cung ứng vào một nhà phân phối phần mềm lớn.
.
