Những kẻ tấn công tiếp tục tạo các gói Python giả và sử dụng các kỹ thuật che giấu thô sơ nhằm cố gắng lây nhiễm W4SP Stealer vào hệ thống của nhà phát triển, một Trojan được thiết kế để đánh cắp thông tin tiền điện tử, lọc dữ liệu nhạy cảm và thu thập thông tin xác thực từ hệ thống của nhà phát triển.
Theo một lời khuyên được xuất bản trong tuần này bởi công ty chuỗi cung ứng phần mềm Phylum, một kẻ đe dọa đã tạo ra 29 bản sao của các gói phần mềm phổ biến trên Python Package Index (PyPI), đặt cho chúng những cái tên nghe có vẻ lành tính hoặc cố tình đặt cho chúng những cái tên tương tự như các gói hợp pháp. thực hành được gọi là đánh máy. Nếu nhà phát triển tải xuống và tải các gói độc hại, tập lệnh thiết lập cũng sẽ cài đặt — thông qua một số bước khó hiểu — Trojan W4SP Stealer. Các nhà nghiên cứu cho biết các gói đã chiếm 5,700 lượt tải xuống.
Louis Lang, đồng sáng lập và CTO tại Phylum cho biết, trong khi W4SP Stealer nhắm mục tiêu vào ví tiền điện tử và tài khoản tài chính, thì mục tiêu quan trọng nhất của các chiến dịch hiện tại dường như là bí mật của nhà phát triển.
Ông nói: “Nó không khác gì các chiến dịch lừa đảo qua email mà chúng ta thường thấy, chỉ có điều lần này những kẻ tấn công chỉ nhắm mục tiêu vào các nhà phát triển”. “Xét đến việc các nhà phát triển thường có quyền truy cập vào những viên ngọc quý, một cuộc tấn công thành công có thể tàn phá một tổ chức.”
Các cuộc tấn công vào PyPI của tác nhân hoặc nhóm không xác định chỉ là những mối đe dọa mới nhất nhằm vào chuỗi cung ứng phần mềm. Các thành phần phần mềm nguồn mở được phân phối thông qua các dịch vụ kho lưu trữ, chẳng hạn như PyPI và Trình quản lý gói nút (npm), là một vectơ tấn công phổ biến, như số lượng phụ thuộc được nhập vào phần mềm đã tăng lên đáng kể. Những kẻ tấn công cố gắng sử dụng hệ sinh thái để phân phối phần mềm độc hại đến hệ thống của các nhà phát triển không cẩn thận, như đã xảy ra trong một cuộc tấn công năm 2020 vào hệ sinh thái Ruby Gems và tấn công vào hệ sinh thái hình ảnh Docker Hub. Và vào tháng XNUMX, các nhà nghiên cứu bảo mật tại Check Point Software Technologies đã tìm thấy 10 gói PyPI đã loại bỏ phần mềm độc hại đánh cắp thông tin.
Trong chiến dịch mới nhất này, “các gói này là một nỗ lực tinh vi hơn nhằm đưa W4SP Stealer vào máy của nhà phát triển Python,” các nhà nghiên cứu của Phylum nêu trong phân tích của họ, nói thêm: “Vì đây là cuộc tấn công đang diễn ra với chiến thuật thay đổi liên tục từ kẻ tấn công kiên quyết, chúng tôi nghi ngờ sẽ thấy nhiều phần mềm độc hại như thế này xuất hiện hơn trong tương lai gần.”
Cuộc tấn công PyPI là một “trò chơi số”
Cuộc tấn công đó lợi dụng những nhà phát triển gõ nhầm tên của một gói chung hoặc sử dụng gói mới mà không kiểm tra đầy đủ nguồn của phần mềm. Một gói độc hại có tên là “typesutil” chỉ là một bản sao của gói Python phổ biến “datetime2” với một vài sửa đổi.
Ban đầu, bất kỳ chương trình nào đã nhập phần mềm độc hại sẽ chạy lệnh tải xuống phần mềm độc hại trong giai đoạn thiết lập, khi Python tải các phần phụ thuộc. Tuy nhiên, vì PyPI đã thực hiện một số kiểm tra nhất định nên những kẻ tấn công bắt đầu sử dụng khoảng trắng để đẩy các lệnh đáng ngờ ra ngoài phạm vi có thể xem thông thường của hầu hết các trình soạn thảo mã.
“Kẻ tấn công đã thay đổi chiến thuật một chút và thay vì chỉ nhập nội dung vào một vị trí rõ ràng, nó đã được đặt ngoài màn hình, lợi dụng dấu chấm phẩy hiếm khi được sử dụng của Python để đưa mã độc vào cùng dòng với mã hợp pháp khác,” Phylum nói. trong phân tích của nó.
Lang của Phylum cho biết, mặc dù việc đánh máy là một cuộc tấn công có độ chính xác thấp và chỉ đạt được những thành công hiếm hoi, nhưng nỗ lực này khiến kẻ tấn công tốn rất ít so với phần thưởng tiềm năng.
Ông nói: “Đó là một trò chơi số với những kẻ tấn công làm ô nhiễm hệ sinh thái gói bằng các gói độc hại này hàng ngày”. “Thực tế đáng tiếc là chi phí để triển khai một trong những gói độc hại này cực kỳ thấp so với phần thưởng tiềm năng”.
Một W4SP gây nhức nhối
Mục tiêu cuối cùng của cuộc tấn công là cài đặt “Trojan W4SP Stealer đánh cắp thông tin, liệt kê hệ thống của nạn nhân, đánh cắp mật khẩu được lưu trữ trên trình duyệt, nhắm mục tiêu vào ví tiền điện tử và tìm kiếm các tệp thú vị bằng cách sử dụng từ khóa, chẳng hạn như 'ngân hàng' và 'bí mật'. ', Lang nói.
Ông nói: “Ngoài phần thưởng bằng tiền rõ ràng khi đánh cắp tiền điện tử hoặc thông tin ngân hàng, một số thông tin bị đánh cắp có thể được kẻ tấn công sử dụng để tiếp tục cuộc tấn công bằng cách cấp quyền truy cập vào cơ sở hạ tầng quan trọng hoặc thông tin xác thực bổ sung của nhà phát triển”.
Phylum đã đạt được một số tiến bộ trong việc xác định kẻ tấn công và đã gửi báo cáo tới các công ty có cơ sở hạ tầng đang được sử dụng.
