Penyerang terus membuat paket Python palsu dan menggunakan teknik kebingungan yang belum sempurna dalam upaya menginfeksi sistem pengembang dengan W4SP Stealer, sebuah Trojan yang dirancang untuk mencuri informasi mata uang kripto, mengekstrak data sensitif, dan mengumpulkan kredensial dari sistem pengembang.
Menurut sebuah nasihat yang diterbitkan minggu ini oleh perusahaan rantai pasokan perangkat lunak Phylum, pelaku ancaman telah membuat 29 klon paket perangkat lunak populer di Python Package Index (PyPI), memberi mereka nama yang terdengar tidak berbahaya atau dengan sengaja memberi mereka nama yang mirip dengan paket yang sah, a praktik yang dikenal sebagai salah ketik. Jika pengembang mengunduh dan memuat paket berbahaya, skrip pengaturan juga menginstal โ melalui sejumlah langkah yang dikaburkan โ Trojan Pencuri W4SP. Paket-paket tersebut telah mencapai 5,700 unduhan, kata para peneliti.
Meskipun W4SP Stealer menargetkan dompet mata uang kripto dan akun keuangan, tujuan paling signifikan dari kampanye saat ini tampaknya adalah rahasia pengembang, kata Louis Lang, salah satu pendiri dan CTO di Phylum.
โIni tidak berbeda dengan kampanye email phishing yang biasa kita lihat, hanya saja kali ini penyerang hanya menargetkan pengembang,โ katanya. โMengingat pengembang sering kali memiliki akses terhadap aset berharga, serangan yang berhasil dapat membawa dampak buruk bagi sebuah organisasi.โ
Serangan terhadap PyPI oleh aktor atau kelompok yang tidak dikenal hanyalah ancaman terbaru yang menargetkan rantai pasokan perangkat lunak. Komponen perangkat lunak sumber terbuka yang didistribusikan melalui layanan repositori, seperti PyPI dan Node Package Manager (npm), adalah vektor serangan yang populer, seperti jumlah ketergantungan yang diimpor ke perangkat lunak telah meningkat secara dramatis. Penyerang berupaya menggunakan ekosistem untuk mendistribusikan malware ke sistem pengembang yang tidak waspada, seperti yang terjadi pada tahun 2017 serangan tahun 2020 terhadap ekosistem Ruby Gems dan menyerang ekosistem gambar Docker Hub. Dan pada bulan Agustus, peneliti keamanan di Check Point Software Technologies menemukan 10 paket PyPI yang menjatuhkan malware pencuri informasi.
Dalam kampanye terbaru ini, โpaket-paket ini merupakan upaya yang lebih canggih untuk mengirimkan W4SP Stealer ke mesin pengembang Python,โ peneliti Phylum dinyatakan dalam analisis mereka, menambahkan: โKarena ini adalah serangan berkelanjutan dengan taktik yang terus berubah dari penyerang yang gigih, kami menduga akan melihat lebih banyak malware seperti ini bermunculan dalam waktu dekat.โ
Serangan PyPI Adalah โPermainan Angkaโ
Serangan tersebut mengambil keuntungan dari pengembang yang salah mengetik nama paket umum atau menggunakan paket baru tanpa memeriksa sumber perangkat lunak secara memadai. Satu paket berbahaya, bernama โtypesutil,โ hanyalah salinan dari paket Python populer โdatetime2,โ dengan beberapa modifikasi.
Awalnya, program apa pun yang mengimpor perangkat lunak berbahaya akan menjalankan perintah untuk mengunduh malware selama fase penyiapan, saat Python memuat dependensi. Namun, karena PyPI menerapkan pemeriksaan tertentu, penyerang mulai menggunakan spasi untuk memasukkan perintah mencurigakan di luar rentang normal yang dapat dilihat oleh sebagian besar editor kode.
โPenyerang mengubah taktiknya sedikit, dan alih-alih hanya membuang impor di tempat yang jelas, ia ditempatkan jauh di luar layar, mengambil keuntungan dari titik koma yang jarang digunakan Python untuk menyelundupkan kode berbahaya ke baris yang sama dengan kode sah lainnya,โ kata Phylum. dalam analisisnya.
Meskipun kesalahan ketik adalah serangan dengan tingkat ketelitian rendah dan jarang berhasil, upaya ini hanya memakan sedikit biaya bagi penyerang dibandingkan dengan potensi imbalannya, kata Lang dari Phylum.
โIni adalah permainan angka dimana penyerang mencemari ekosistem paket dengan paket jahat ini setiap hari,โ katanya. โRealitas yang disayangkan adalah biaya untuk menyebarkan salah satu paket berbahaya ini sangat rendah dibandingkan potensi imbalannya.โ
W4SP yang Menyengat
Tujuan akhir dari serangan ini adalah untuk menginstal โPencuri Trojan W4SP pencuri informasi, yang menghitung sistem korban, mencuri kata sandi yang disimpan di browser, menargetkan dompet mata uang kripto, dan mencari file menarik menggunakan kata kunci, seperti 'bank' dan 'rahasia ,'โ kata Lang.
โSelain imbalan uang yang nyata dari pencurian mata uang kripto atau informasi perbankan, beberapa informasi yang dicuri dapat digunakan oleh penyerang untuk melanjutkan serangannya dengan memberikan akses ke infrastruktur penting atau kredensial pengembang tambahan,โ katanya.
Phylum telah membuat beberapa kemajuan dalam mengidentifikasi penyerang dan telah mengirimkan laporan ke perusahaan yang infrastrukturnya digunakan.
