Peneliti cybersecurity telah menemukan paket jahat yang diunggah ke repositori Python Package Index (PYPI) yang bertindak sebagai alat pemeriksa untuk memvalidasi alamat email curian terhadap Tiktok dan Instagram API.
Ketiga paket tidak lagi tersedia di PYPI. Nama -nama paket Python di bawah ini –
- Checker-Sagaf (2.605 unduhan)
- SteinLurks (1.049 unduhan)
- SinnerCore (3.300 unduhan)
“Sesuai namanya, Checker-Sagaf memeriksa apakah email dikaitkan dengan akun Tiktok dan akun Instagram,” kata peneliti soket Olivia Brown dalam analisis yang diterbitkan minggu lalu.
Secara khusus, paket ini dirancang untuk mengirim permintaan HTTP POST ke API Pemulihan Kata sandi Tiktok dan titik akhir login akun Instagram untuk menentukan apakah alamat email yang disahkan sebagai input valid, yang berarti ada pemegang akun yang sesuai dengan alamat email tersebut.
“Setelah aktor ancaman memiliki informasi ini, hanya dari alamat email, mereka dapat mengancam DOX atau spam, melakukan serangan laporan palsu untuk mendapatkan akun ditangguhkan, atau semata -mata mengkonfirmasi akun target sebelum meluncurkan kredensial isian atau eksploitasi penyemprotan kata sandi,” kata Brown.
“Daftar pengguna yang divalidasi juga dijual di web gelap untuk mendapatkan keuntungan. Tampaknya tidak berbahaya untuk membangun kamus email aktif, tetapi informasi ini memungkinkan dan mempercepat seluruh rantai serangan dan meminimalkan deteksi dengan hanya menargetkan akun valid yang diketahui.”
Paket kedua “SteinLurks,” dengan cara yang sama, menargetkan akun Instagram dengan mengirim meminta HTTP Post meminta meniru aplikasi Android Instagram untuk menghindari deteksi. Ini mencapai ini dengan menargetkan titik akhir API yang berbeda –
- i.instagram[.]com/API/V1/pengguna/pencarian/
- i.instagram[.]com/API/V1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/API/V1/ACCOUNTS/SEND_RECOVERY_FLOW_EMAIL/
- www.instagram[.]com/API/V1/web/akun/check_email/
“SinnerCore,” di sisi lain, bertujuan untuk memicu aliran kata sandi yang lupa untuk nama pengguna yang diberikan, menargetkan titik akhir API “Biinstagram[.]com/API/V1/Accounts/Send_password_reset/”dengan permintaan HTTP palsu yang berisi nama pengguna target.
“Ada juga fungsionalitas penargetan telegram, yaitu mengekstraksi nama, ID pengguna, bio, dan status premium, serta atribut lainnya,” jelas Brown.
“Beberapa bagian SinnerCore berfokus pada utilitas crypto, seperti mendapatkan harga Binance real-time atau konversi mata uang. Ini bahkan menargetkan pemrogram PYPI dengan mengambil info terperinci tentang paket PYPI apa pun, kemungkinan digunakan untuk profil pengembang palsu atau berpura-pura menjadi pengembang.”
Pengungkapan itu datang ketika ReversingLabs merinci paket jahat lain bernama “DBGPKG” yang menyamar sebagai utilitas debugging tetapi menanamkan pintu belakang pada sistem pengembang untuk memfasilitasi pelaksanaan kode dan pengekspusi data. Meskipun paket itu tidak dapat diakses lagi, diperkirakan telah diunduh sekitar 350 kali.
Menariknya, paket yang dimaksud telah ditemukan berisi muatan yang sama dengan yang tertanam dalam “DiscordpyDebug,” yang ditandai oleh Socket awal bulan ini. ReversingLabs mengatakan juga mengidentifikasi paket ketiga yang disebut “RequestsDev” yang diyakini sebagai bagian dari kampanye yang sama. Itu menarik 76 unduhan sebelum diturunkan.
Analisis lebih lanjut telah menentukan bahwa teknik backdoor paket menggunakan Gsocket menyerupai Phoenix Hyena (alias dumpforums atau silent crow), sebuah kelompok peretas yang dikenal karena menargetkan entitas Rusia, termasuk Web Dokter, setelah Perang Russo-Ukraina pada awal 2022.
Sementara atribusinya tentatif paling baik, ReversingLabs menunjukkan bahwa kegiatan tersebut juga bisa menjadi pekerjaan aktor ancaman peniru. Namun, penggunaan muatan yang identik dan fakta bahwa “DiscordpyDebug” pertama kali diunggah pada Maret 2022 memperkuat kasus untuk kemungkinan koneksi ke Phoenix Hyena.
“Teknik jahat yang digunakan dalam kampanye ini, termasuk jenis implan pintu belakang tertentu dan penggunaan pembungkus fungsi Python, menunjukkan bahwa aktor ancaman di belakangnya canggih dan sangat berhati -hati untuk menghindari deteksi,” kata peneliti keamanan Karlo Zanki.
“Penggunaan pembungkus fungsi dan alat-alat seperti Global Socket Toolkit menunjukkan bahwa aktor ancaman di belakangnya juga ingin membangun kehadiran jangka panjang pada sistem yang dikompromikan tanpa diketahui.”
Temuan ini juga bertepatan dengan penemuan paket NPM berbahaya yang disebut “Koishi -Plugin -Pinhaofa” yang menginstal backdoor eksfiltrasi data di chatbots yang ditenagai oleh kerangka kerja Koishi. Paket tidak lagi tersedia untuk diunduh dari NPM.
“Dipasarkan sebagai penolong ejaan -otomatis, plugin memindai setiap pesan untuk string heksadesimal delapan karakter,” kata peneliti keamanan Kirill Boychenko. “Ketika menemukan satu, itu meneruskan pesan lengkap, berpotensi termasuk rahasia atau kredensial tertanam, ke akun QQ yang dikodekan dengan keras.”
“Delapan karakter Hex sering mewakili hash commit git pendek, token JWT atau API terpotong, checksum CRC -32, segmen pimpinan panduan, atau nomor seri perangkat, yang masing -masing dapat membuka sistem yang lebih luas atau memetakan aset internal, dengan memanen seluruh pesan, aktor ancaman juga menyendok.
