Các nhà nghiên cứu an ninh mạng đã cảnh báo về một gói Python độc hại mới đã được phát hiện trong kho lưu trữ Python Package Index (PyPI) để tạo điều kiện cho hành vi trộm cắp tiền điện tử như một phần của chiến dịch rộng lớn hơn.
Gói được đề cập là pytoileur, đã được tải xuống 316 lần khi viết. Điều thú vị là tác giả gói, người có tên PhilipsPY, đã tải lên phiên bản mới của gói (1.0.2) với chức năng giống hệt nhau sau khi phiên bản trước đó (1.0.1) bị người bảo trì PyPI gỡ bỏ vào ngày 28 tháng 5 năm 2024.
Theo một phân tích được phát hành bởi Sonatype, mã độc được nhúng trong tập lệnh setup.py của gói, cho phép nó thực thi tải trọng được mã hóa Base64 chịu trách nhiệm truy xuất tệp nhị phân Windows từ máy chủ bên ngoài.
Sau khi cài đặt, nhị phân thiết lập sự bền bỉ và giảm tải trọng bổ sung, bao gồm phần mềm gián điệp và phần mềm độc hại đánh cắp có khả năng thu thập dữ liệu từ các trình duyệt web và dịch vụ tiền điện tử.
Sonatype cho biết họ cũng xác định được một tài khoản StackOverflow mới được tạo có tên là "EstAYA G" trả lời các truy vấn của người dùng trên nền tảng hỏi đáp, hướng dẫn họ cài đặt gói pytoileur giả mạo như một giải pháp được cho là cho các vấn đề của họ.
Sự phát triển này đánh dấu một sự leo thang mới ở chỗ nó lạm dụng một nền tảng đáng tin cậy như một vectơ truyền bá cho phần mềm độc hại.
Khi được đưa ra bình luận, Stack Overflow nói với The Hacker News rằng họ đã thực hiện các bước để đình chỉ tài khoản.
"Nhóm Stack Overflow Trust &; Safety đã điều tra khiếu nại", một phát ngôn viên của công ty nói với ấn phẩm. "Nhóm nghiên cứu đã phát hiện ra một số nội dung vi phạm chính sách mạng Stack Overflow, xóa nó khỏi mạng và thực hiện các hành động tiếp theo theo quy trình ứng phó sự cố tiêu chuẩn."
Một cuộc kiểm tra kỹ hơn về siêu dữ liệu gói và lịch sử tác giả của nó đã cho thấy sự trùng lặp với một chiến dịch trước đó liên quan đến các gói Python không có thật như Pystob và Pywool, được Checkmarx tiết lộ vào tháng 11/2023.
Những phát hiện này là một ví dụ khác về lý do tại sao các hệ sinh thái nguồn mở tiếp tục là nam châm thu hút các tác nhân đe dọa tìm cách thỏa hiệp một số mục tiêu cùng một lúc với những kẻ đánh cắp thông tin như Bladeroid và các phần mềm độc hại khác bằng cái gọi là tấn công chuỗi cung ứng.
(Câu chuyện đã được cập nhật sau khi xuất bản để bao gồm phản hồi từ Stack Overflow về việc tạm ngưng tài khoản.)