Các nhà nghiên cứu an ninh mạng đã xác định được một bộ 116 gói độc hại trên kho lưu trữ Python Package Index (PyPI) được thiết kế để lây nhiễm các hệ thống Windows và Linux bằng một backdoor tùy chỉnh.
"Trong một số trường hợp, tải trọng cuối cùng là một biến thể của W4SP Stealer khét tiếng, hoặc một màn hình clipboard đơn giản để đánh cắp tiền điện tử, hoặc cả hai", các nhà nghiên cứu của ESET Marc-Etienne M.Léveillé và Rene Holt cho biết trong một báo cáo được công bố đầu tuần này.
Các gói này ước tính đã được tải xuống hơn 10.000 lần kể từ tháng 5/2023.
Các tác nhân đe dọa đằng sau hoạt động này đã được quan sát bằng cách sử dụng ba kỹ thuật để gói mã độc vào các gói Python, cụ thể là thông qua tập lệnh test.py, nhúng PowerShell vào tệp setup.py và kết hợp nó ở dạng xáo trộn trong tệp __init__.py.
Bất kể phương pháp nào được sử dụng, mục tiêu cuối cùng của chiến dịch là thỏa hiệp máy chủ được nhắm mục tiêu bằng phần mềm độc hại, chủ yếu là một cửa hậu có khả năng thực thi lệnh từ xa, lọc dữ liệu và chụp ảnh màn hình. Mô-đun backdoor được triển khai trong Python cho Windows và Go cho Linux.
Ngoài ra, các chuỗi tấn công cũng lên đến đỉnh điểm trong việc triển khai W4SP Stealer hoặc một phần mềm độc hại clipper được thiết kế để theo dõi chặt chẽ hoạt động clipboard của nạn nhân và hoán đổi địa chỉ ví ban đầu, nếu có, với địa chỉ do kẻ tấn công kiểm soát.
Sự phát triển này là sự phát triển mới nhất trong làn sóng các gói Python bị xâm nhập mà những kẻ tấn công đã phát hành để đầu độc hệ sinh thái nguồn mở và phân phối một hỗn hợp phần mềm độc hại cho các cuộc tấn công chuỗi cung ứng.
Đây cũng là sự bổ sung mới nhất cho một luồng ổn định các gói PyPI không có thật đã hoạt động như một kênh tàng hình để phân phối phần mềm độc hại ăn cắp. Vào tháng 5/2023, ESET đã tiết lộ một cụm thư viện khác được thiết kế để truyền bá Sordeal Stealer, mượn các tính năng của nó từ W4SP Stealer.
Sau đó, vào tháng trước, các gói độc hại giả mạo các công cụ xáo trộn dường như vô hại đã được tìm thấy để triển khai một phần mềm độc hại đánh cắp có tên mã là BlazeStealer.
"Các nhà phát triển Python nên kiểm tra kỹ lưỡng mã mà họ tải xuống, đặc biệt là kiểm tra các kỹ thuật này, trước khi cài đặt nó trên hệ thống của họ", các nhà nghiên cứu cảnh báo.
Việc tiết lộ cũng theo sau việc phát hiện ra các gói npm được tìm thấy nhắm mục tiêu vào một tổ chức tài chính giấu tên như một phần của "bài tập mô phỏng đối thủ tiên tiến". Tên của các mô-đun, chứa một blob được mã hóa, đã được giữ lại để bảo vệ danh tính của tổ chức.
"Tải trọng được giải mã này chứa một tệp nhị phân nhúng khéo léo trích xuất thông tin đăng nhập của người dùng vào webhook Microsoft Teams là nội bộ của công ty mục tiêu được đề cập", công ty bảo mật chuỗi cung ứng phần mềm Phylum tiết lộ vào tuần trước.