Theo một nghiên cứu mới từ Checkmarx, những kẻ đe dọa đang lợi dụng một thử thách phổ biến trên TikTok để lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin.
Xu hướng, được gọi là Thử thách vô hình, liên quan đến việc áp dụng một bộ lọc được gọi là Cơ thể vô hình chỉ để lại hình bóng của cơ thể người đó.
Nhưng việc những người quay những video như vậy có thể không mặc quần áo đã dẫn đến một âm mưu bất chính, trong đó những kẻ tấn công đăng video TikTok có liên kết đến phần mềm lừa đảo có tên là “unfilter” nhằm mục đích xóa các bộ lọc được áp dụng.
Nhà nghiên cứu Guy Nachshon của Checkmarx cho biết trong một phân tích hôm thứ Hai: “Hướng dẫn để phần mềm ‘unfilter' triển khai phần mềm độc hại đánh cắp WASP ẩn bên trong các gói Python độc hại”.
Kẻ đánh cắp WASP (còn gọi là W4SP Stealer) là một phần mềm độc hại được thiết kế để đánh cắp mật khẩu, tài khoản Discord, ví tiền điện tử và các thông tin nhạy cảm khác của người dùng.
Các video TikTok do những kẻ tấn công, @learncyber và @kodibtc, đăng vào ngày 11 tháng 11 năm 2022, ước tính đã đạt hơn một triệu lượt xem. Các tài khoản đã bị đình chỉ.
Ngoài ra, trong video còn có một liên kết mời đến máy chủ Discord do đối thủ quản lý, máy chủ này có gần 32.000 thành viên trước khi bị báo cáo và xóa. Các nạn nhân tham gia máy chủ Discord sau đó sẽ nhận được liên kết đến kho lưu trữ GitHub lưu trữ phần mềm độc hại.
Kể từ đó, kẻ tấn công đã đổi tên dự án thành “Máy tạo Nitro” nhưng không phải trước khi nó lọt vào danh sách kho lưu trữ Xu hướng của GitHub cho ngày 27 tháng 11 năm 2022, bằng cách thúc giục các thành viên mới trên Discord đánh dấu sao cho dự án.
Bên cạnh việc thay đổi tên kho lưu trữ, kẻ đe dọa đã xóa các tệp cũ trong dự án và tải lên các tệp mới, một trong số đó thậm chí còn mô tả mã Python được cập nhật là “Đây là mã nguồn mở, không phải **VIRUS**.” Tài khoản GitHub hiện đã được rút.
Mã của kẻ đánh cắp được cho là đã được nhúng trong nhiều gói Python khác nhau, chẳng hạn như “tiktok-filter-api”, “pyshftuler”, “pyiopcs” và “pydesings” với những người điều hành nhanh chóng xuất bản các thay thế mới cho Chỉ mục gói Python (PyPI ) dưới các tên khác nhau sau khi bị xóa.
“Mức độ thao túng được sử dụng bởi những kẻ tấn công chuỗi cung ứng phần mềm đang gia tăng khi những kẻ tấn công ngày càng trở nên thông minh,” Nachshon lưu ý. “Những cuộc tấn công này một lần nữa chứng minh rằng những kẻ tấn công mạng đã bắt đầu tập trung sự chú ý của chúng vào hệ sinh thái gói mã nguồn mở.”