Peneliti cybersecurity telah memperingatkan kampanye jahat yang menargetkan pengguna repositori Python Package Index (PYPI) dengan perpustakaan palsu yang menyamar sebagai utilitas terkait “waktu”, tetapi menyimpan fungsionalitas tersembunyi untuk mencuri data sensitif seperti token akses cloud.
Perangkat lunak perusahaan keamanan rantai pasokan ReversingLabs mengatakan menemukan dua set paket dengan total 20 di antaranya. Paket telah diunduh secara kumulatif lebih dari 14.100 kali –
- Snapshot-photo (2.448 unduhan)
- Waktu-check-server (316 unduhan)
- Time-check-server-get (178 unduhan)
- Time-Server-Analysis (144 Unduhan)
- Time-Server-Analyzer (74 unduhan)
- Time-Server-Test (155 unduhan)
- Waktu-Layanan-Pemeriksa (151 unduhan)
- Aclient-SDK (120 unduhan)
- Acloud-Client (5.496 unduhan)
- Acloud-Clients (198 unduhan)
- ACLOUD-CLIENT-USES (294 Unduhan)
- Alicloud-Client (622 unduhan)
- Alicloud-Client-SDK (206 unduhan)
- Amzclients-SDK (100 unduhan)
- AWSCLOUD-CLIENTS-CORE (206 unduhan)
- Credential-Python-SDK (1.155 unduhan)
- Enumer-IAM (1.254 unduhan)
- TClients-SDK (173 unduhan)
- Tcloud-Python-SDKS (98 unduhan)
- tcloud-python-test (793 unduhan)
Sementara set pertama berkaitan dengan paket yang digunakan untuk mengunggah data ke infrastruktur aktor ancaman, cluster kedua terdiri dari paket yang menerapkan fungsi klien cloud untuk beberapa layanan seperti Alibaba Cloud, Amazon Web Services, dan Tencent Cloud.
Tetapi mereka juga telah menggunakan paket terkait “Waktu” untuk mengeksfiltrate Cloud Secrets. Semua paket yang diidentifikasi telah dihapus dari PYPI pada saat penulisan.
Analisis lebih lanjut telah mengungkapkan bahwa tiga paket, Acloud-Client, Enumer-Iam, dan Tcloud-Python-test, telah terdaftar sebagai dependensi dari proyek GitHub yang relatif populer bernama AccessKey_Tools yang telah bercabang 42 kali dan dimulai 519 kali.
Kode Sumber Komit Referensi Tcloud-Python-Test dibuat pada 8 November 2023, menunjukkan bahwa paket telah tersedia untuk diunduh di PYPI sejak saat itu. Paket telah diunduh 793 kali hingga saat ini, per statistik dari pepy.tech.
Pengungkapan itu datang ketika Fortinet Fortiguard Labs mengatakan menemukan ribuan paket di seluruh PYPI dan NPM, beberapa di antaranya telah ditemukan untuk menanamkan skrip instalasi yang dicurigai yang dirancang untuk menggunakan kode berbahaya selama instalasi atau berkomunikasi dengan server eksternal.
“URL yang mencurigakan adalah indikator utama paket yang berpotensi berbahaya, karena sering digunakan untuk mengunduh muatan tambahan atau membangun komunikasi dengan server perintah-dan-kontrol (C&C), memberikan kontrol kepada penyerang atas sistem yang terinfeksi,” kata Jenna Wang.
“Dalam 974 paket, URL seperti itu terkait dengan risiko exfiltration data, unduhan malware lebih lanjut, dan tindakan jahat lainnya. Sangat penting untuk meneliti dan memantau URL eksternal dalam dependensi paket untuk mencegah eksploitasi.”
