Tin tặc phân phối các gói Python độc hại thông qua nền tảng hỏi đáp

Tác giả AI+, T.Tám 02, 2024, 08:23:09 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một dấu hiệu khác cho thấy các tác nhân đe dọa luôn tìm kiếm những cách mới để lừa người dùng tải xuống phần mềm độc hại, đó là nền tảng hỏi đáp (Q&A) có tên Stack Exchange đã bị lạm dụng để hướng các nhà phát triển không nghi ngờ đến những hành vi giả mạo. Các gói Python có khả năng làm cạn kiệt ví tiền điện tử của họ.

Các nhà nghiên cứu Yehuda Gelb và Tzachi Zornstain của Checkmarx cho biết trong một báo cáo được chia sẻ: "Sau khi cài đặt, mã này sẽ tự động thực thi, thiết lập một chuỗi sự kiện được thiết kế để xâm phạm và kiểm soát hệ thống của nạn nhân, đồng thời lấy cắp dữ liệu của họ và rút cạn ví tiền điện tử của họ". với Tin tức Hacker.


Chiến dịch bắt đầu vào ngày 25 tháng 6 năm 2024, đặc biệt nhắm đến những người dùng tiền điện tử có liên quan đến Raydium và Solana. Danh sách các gói lừa đảo được phát hiện trong hoạt động này được liệt kê bên dưới -

  • raydium (762 lượt tải xuống)
  • raydium-sdk (137 lượt tải xuống)
  • sol-instruct (115 lượt tải xuống)
  • sol-structs (292 lượt tải xuống)
  • spl-types (776 lượt tải xuống)

Các gói đã được tải xuống chung 2.082 lần. Chúng không còn có sẵn để tải xuống từ kho lưu trữ Python Package Index (PyPI).

Phần mềm độc hại ẩn trong gói phục vụ mục đích đánh cắp thông tin chính thức, tạo ra một mạng lưới dữ liệu rộng lớn, bao gồm mật khẩu trình duyệt web, cookie và chi tiết thẻ tín dụng, ví tiền điện tử và thông tin liên quan đến các ứng dụng nhắn tin như Telegram, Signal và Session.

Nó cũng có khả năng chụp ảnh màn hình của hệ thống và tìm kiếm các tệp chứa mã khôi phục GitHub và khóa BitLocker. Thông tin thu thập được sau đó được nén và chuyển sang hai bot Telegram khác nhau do kẻ đe dọa duy trì.

Ngoài ra, một thành phần cửa sau có trong phần mềm độc hại đã cấp cho kẻ tấn công quyền truy cập từ xa liên tục vào máy của nạn nhân, tạo điều kiện cho các hoạt động khai thác tiềm năng trong tương lai và xâm phạm lâu dài.

Chuỗi tấn công trải dài qua nhiều giai đoạn, trong đó gói "raydium" liệt kê "spl-types" là phần phụ thuộc nhằm cố gắng che giấu hành vi độc hại và tạo cho người dùng ấn tượng rằng hành vi đó là hợp pháp.

Một khía cạnh đáng chú ý của chiến dịch là việc sử dụng Stack Exchange làm vectơ để thúc đẩy việc áp dụng bằng cách đăng các câu trả lời có vẻ hữu ích liên quan đến gói được đề cập cho các câu hỏi của nhà phát triển liên quan đến việc thực hiện giao dịch hoán đổi trong Raydium bằng Python.


Các nhà nghiên cứu cho biết: "Bằng cách chọn một chủ đề có khả năng hiển thị cao – thu hút hàng nghìn lượt xem – kẻ tấn công đã tối đa hóa phạm vi tiếp cận tiềm năng của chúng", đồng thời cho biết thêm rằng việc này được thực hiện để "tạo uy tín cho gói này và đảm bảo nó được áp dụng rộng rãi".

Mặc dù câu trả lời không còn tồn tại trên Stack Exchange, The Hacker News đã tìm thấy các tham chiếu đến "raydium" trong một câu hỏi chưa được trả lời khác được đăng trên trang Hỏi đáp ngày 9 tháng 7 năm 2024: "Tôi đã vật lộn nhiều đêm để có được một trao đổi trên mạng solana đang chạy trong python 3.10.2 đã cài đặt solana, chất hàn và Raydium nhưng tôi không thể làm cho nó hoạt động được", một người dùng cho biết.

Các tài liệu tham khảo về "raydium-sdk" cũng đã xuất hiện trong một bài đăng có tiêu đề "Cách mua và bán mã thông báo trên Raydium bằng Python: Hướng dẫn Solana từng bước" được chia sẻ bởi một người dùng có tên SolanaScribe trên nền tảng xuất bản xã hội Medium trên Ngày 29 tháng 6 năm 2024.

Hiện tại vẫn chưa rõ khi nào các gói bị xóa khỏi PyPI, vì hai người dùng khác đã phản hồi bài đăng trên Medium để tìm kiếm trợ giúp từ tác giả về việc cài đặt "raydium-sdk" gần đây nhất là sáu ngày trước. Checkmarx nói với The Hacker News rằng bài đăng không phải là tác phẩm của kẻ đe dọa.

Đây không phải là lần đầu tiên kẻ xấu sử dụng phương pháp phát tán phần mềm độc hại như vậy. Đầu tháng 5 này, Sonatype đã tiết lộ cách một gói có tên pytoileur được quảng cáo thông qua một dịch vụ Hỏi & Đáp khác có tên Stack Overflow để tạo điều kiện cho hành vi trộm tiền điện tử.

Nếu có thì sự phát triển này là bằng chứng cho thấy những kẻ tấn công đang tận dụng niềm tin vào các nền tảng do cộng đồng điều khiển này để phát tán phần mềm độc hại, dẫn đến các cuộc tấn công chuỗi cung ứng quy mô lớn.

Các nhà nghiên cứu cho biết: "Một nhà phát triển bị xâm nhập có thể vô tình đưa các lỗ hổng vào hệ sinh thái phần mềm của toàn bộ công ty, có khả năng ảnh hưởng đến toàn bộ mạng công ty". "Cuộc tấn công này đóng vai trò như một lời cảnh tỉnh cho cả cá nhân và tổ chức đánh giá lại chiến lược bảo mật của họ."

Sự phát triển này diễn ra khi Fortinet FortiGuard Labs trình bày chi tiết về gói PyPI độc hại có tên zlibxjson, chứa các tính năng nhằm đánh cắp thông tin nhạy cảm, chẳng hạn như mã thông báo Discord, cookie được lưu trong Google Chrome, Mozilla Firefox, Brave và Opera cũng như mật khẩu được lưu trữ từ trình duyệt. Thư viện đã thu hút tổng cộng 602 lượt tải xuống trước khi bị rút khỏi PyPI.

Nhà nghiên cứu bảo mật Jenna Wang cho biết : "Những hành động này có thể dẫn đến việc truy cập trái phép vào tài khoản người dùng và đánh cắp dữ liệu cá nhân, phân loại rõ ràng phần mềm là độc hại".