W4SP Stealer ต่อยนักพัฒนา Python ในการโจมตีห่วงโซ่อุปทาน

ผู้โจมตียังคงสร้างแพ็คเกจ Python ปลอม และใช้เทคนิคการทำให้งงงวยขั้นพื้นฐานในความพยายามที่จะแพร่เชื้อระบบของนักพัฒนาด้วย W4SP Stealer ซึ่งเป็นโทรจันที่ออกแบบมาเพื่อขโมยข้อมูลสกุลเงินดิจิทัล ขโมยข้อมูลที่ละเอียดอ่อน และรวบรวมข้อมูลประจำตัวจากระบบของนักพัฒนา

ตามคำแนะนำที่เผยแพร่ในสัปดาห์นี้โดยบริษัทซัพพลายเชนซอฟต์แวร์ Phylum ผู้คุกคามได้สร้างชุดซอฟต์แวร์ยอดนิยมจำนวน 29 ชุดบน Python Package Index (PyPI) โดยตั้งชื่อที่ฟังดูไม่สุภาพหรือจงใจตั้งชื่อที่คล้ายกับแพ็คเกจที่ถูกกฎหมาย การปฏิบัติที่เรียกว่าการพิมพ์ผิด หากนักพัฒนาดาวน์โหลดและโหลดแพ็คเกจที่เป็นอันตราย สคริปต์การตั้งค่าก็จะติดตั้งโทรจัน W4SP Stealer ด้วยขั้นตอนที่ซับซ้อนหลายขั้นตอน แพ็คเกจดังกล่าวมียอดดาวน์โหลดถึง 5,700 ครั้ง นักวิจัยกล่าว

ในขณะที่ W4SP Stealer กำหนดเป้าหมายไปที่กระเป๋าเงินดิจิทัลและบัญชีการเงิน วัตถุประสงค์ที่สำคัญที่สุดของแคมเปญปัจจุบันดูเหมือนจะเป็นความลับของนักพัฒนา Louis Lang ผู้ร่วมก่อตั้งและ CTO ของ Phylum กล่าว

“มันไม่ต่างจากแคมเปญฟิชชิ่งทางอีเมลที่เราคุ้นเคย เพียงแต่คราวนี้ผู้โจมตีมุ่งเป้าไปที่นักพัฒนาเพียงอย่างเดียว” เขากล่าว “เมื่อพิจารณาจากนักพัฒนามักจะเข้าถึงมงกุฎเพชรได้ การโจมตีที่ประสบความสำเร็จอาจสร้างความเสียหายให้กับองค์กรได้”

การโจมตี PyPI โดยผู้แสดงหรือกลุ่มที่ไม่รู้จัก เป็นเพียงภัยคุกคามล่าสุดในการกำหนดเป้าหมายห่วงโซ่อุปทานซอฟต์แวร์ ส่วนประกอบซอฟต์แวร์โอเพ่นซอร์สที่เผยแพร่ผ่านบริการพื้นที่เก็บข้อมูล เช่น PyPI และ Node Package Manager (npm) เป็นเวกเตอร์การโจมตีที่ได้รับความนิยม เนื่องจาก จำนวนการพึ่งพาที่นำเข้าสู่ซอฟต์แวร์เพิ่มขึ้นอย่างมาก. ผู้โจมตีพยายามใช้ระบบนิเวศเพื่อกระจายมัลแวร์ไปยังระบบของนักพัฒนาที่ไม่ระมัดระวัง เช่นเดียวกับที่เกิดขึ้น การโจมตีระบบนิเวศ Ruby Gems ในปี 2020 และโจมตีต่อไป ระบบนิเวศภาพ Docker Hub. และในเดือนสิงหาคม นักวิจัยด้านความปลอดภัยจาก Check Point Software Technologies พบ 10 แพ็คเกจ PyPI ที่ทิ้งมัลแวร์ขโมยข้อมูล 

ในแคมเปญล่าสุดนี้ “แพ็คเกจเหล่านี้เป็นความพยายามที่ซับซ้อนมากขึ้นในการส่งมอบ W4SP Stealer ไปยังเครื่องของผู้พัฒนา Python” นักวิจัยของ Phylum ระบุไว้ในการวิเคราะห์ของพวกเขากล่าวเสริมว่า “เนื่องจากนี่เป็นการโจมตีอย่างต่อเนื่องโดยเปลี่ยนกลยุทธ์อย่างต่อเนื่องจากผู้โจมตีที่มุ่งมั่น เราจึงคาดว่าจะเห็นมัลแวร์ประเภทนี้ปรากฏขึ้นอีกในอนาคตอันใกล้นี้”

PyPI Attack คือ “เกมตัวเลข”

การโจมตีดังกล่าวใช้ประโยชน์จากนักพัฒนาที่พิมพ์ชื่อแพ็คเกจทั่วไปผิดหรือใช้แพ็คเกจใหม่โดยไม่ตรวจสอบแหล่งที่มาของซอฟต์แวร์อย่างเพียงพอ แพ็คเกจที่เป็นอันตรายหนึ่งชื่อ “typesutil” เป็นเพียงสำเนาของแพ็คเกจ Python ยอดนิยม “datetime2” โดยมีการแก้ไขเล็กน้อย

ในตอนแรก โปรแกรมใดๆ ที่นำเข้าซอฟต์แวร์ที่เป็นอันตรายจะเรียกใช้คำสั่งเพื่อดาวน์โหลดมัลแวร์ในระหว่างขั้นตอนการตั้งค่า เมื่อ Python โหลดการอ้างอิง อย่างไรก็ตาม เนื่องจาก PyPI ดำเนินการตรวจสอบบางอย่าง ผู้โจมตีจึงเริ่มใช้ช่องว่างเพื่อส่งคำสั่งที่น่าสงสัยออกไปนอกขอบเขตการมองเห็นปกติของโปรแกรมแก้ไขโค้ดส่วนใหญ่

“ผู้โจมตีเปลี่ยนกลยุทธ์เล็กน้อย และแทนที่จะทิ้งการนำเข้าในจุดที่ชัดเจน มันถูกวางไว้นอกหน้าจอ โดยใช้ประโยชน์จากเครื่องหมายอัฒภาคที่ไม่ค่อยได้ใช้ของ Python เพื่อแอบโค้ดที่เป็นอันตรายไปยังบรรทัดเดียวกับโค้ดที่ถูกต้องอื่น ๆ” Phylum กล่าว ในการวิเคราะห์

แม้ว่าการพิมพ์ผิดจะเป็นการโจมตีที่มีความเที่ยงตรงต่ำแต่มีเพียงความสำเร็จที่หาได้ยาก แต่ความพยายามนั้นมีค่าใช้จ่ายเพียงเล็กน้อยเมื่อเทียบกับรางวัลที่อาจเกิดขึ้น Phylum's Lang กล่าว

“มันเป็นเกมตัวเลขที่มีผู้โจมตีสร้างมลพิษให้กับระบบนิเวศของแพ็คเกจด้วยแพ็คเกจที่เป็นอันตรายเหล่านี้ทุกวัน” เขากล่าว “ความจริงอันโชคร้ายก็คือค่าใช้จ่ายในการปรับใช้แพ็คเกจที่เป็นอันตรายเหล่านี้ต่ำมากเมื่อเทียบกับรางวัลที่อาจเกิดขึ้น”

W4SP ที่ต่อย

เป้าหมายสุดท้ายของการโจมตีคือการติดตั้ง “โทรจัน W4SP Stealer ที่ขโมยข้อมูล ซึ่งจะระบุระบบของเหยื่อ ขโมยรหัสผ่านที่จัดเก็บบนเบราว์เซอร์ กำหนดเป้าหมายกระเป๋าเงินดิจิทัล และค้นหาไฟล์ที่น่าสนใจโดยใช้คำหลัก เช่น 'ธนาคาร' และ 'ความลับ' '” แลงกล่าว

“นอกเหนือจากรางวัลทางการเงินที่ชัดเจนจากการขโมยข้อมูลสกุลเงินดิจิตอลหรือข้อมูลธนาคารแล้ว ผู้โจมตีอาจใช้ข้อมูลที่ขโมยมาบางส่วนเพื่อโจมตีเพิ่มเติมโดยให้สิทธิ์การเข้าถึงโครงสร้างพื้นฐานที่สำคัญหรือข้อมูลประจำตัวของนักพัฒนาเพิ่มเติม” เขากล่าว

Phylum มีความคืบหน้าในการระบุตัวผู้โจมตีและได้ส่งรายงานไปยังบริษัทที่มีการใช้โครงสร้างพื้นฐานอยู่