Peneliti cybersecurity telah menemukan paket jahat pada repositori Python Package Index (PYPI) yang menyamar sebagai utilitas terkait perselisihan yang tampaknya tidak berbahaya tetapi menggabungkan Trojan akses jarak jauh.
Paket yang dimaksud adalah DiscordpyDebug, yang diunggah ke PYPI pada 21 Maret 2022. Telah diunduh 11.574 kali dan terus tersedia di registri open-source. Menariknya, paket tersebut belum menerima pembaruan apa pun.
“Pada pandangan pertama, itu tampaknya merupakan utilitas sederhana yang ditujukan untuk pengembang yang bekerja pada bot discord menggunakan perpustakaan discord.py,” kata tim peneliti soket. “Namun, paket tersebut menyembunyikan Trojan (tikus) jarak jauh yang berfungsi penuh.”
Paket, setelah diinstal, menghubungi server eksternal (“backstabProtection.jamesx123.repl[.]co “), dan termasuk fitur untuk membaca dan menulis file sewenang -wenang berdasarkan perintah, readfile atau writefile, yang diterima dari server. Tikus juga mendukung kemampuan untuk menjalankan perintah shell.
Singkatnya, DiscordpyDebug dapat digunakan untuk membaca data sensitif, seperti file konfigurasi, token, dan kredensial, merusak file yang ada, mengunduh muatan tambahan, dan menjalankan perintah untuk mengekspiltrat data.
“Meskipun kode tidak termasuk mekanisme untuk eskalasi kegigihan atau hak istimewa, kesederhanaannya membuatnya sangat efektif,” kata Socket. “Penggunaan jajak pendapat HTTP keluar daripada koneksi masuk memungkinkannya untuk memotong sebagian besar firewall dan alat pemantauan keamanan, terutama di lingkungan pengembangan yang kurang terkontrol.”
Pengembangan datang karena perusahaan keamanan rantai pasokan perangkat lunak juga menemukan lebih dari 45 paket NPM yang menyamar sebagai perpustakaan sah yang tersedia di ekosistem lain sebagai cara untuk menipu pengembang agar menginstalnya. Beberapa yang terkenal tercantum di bawah ini –
- Beautifulsoup4 (kesalahan ketik dari Perpustakaan Python Beautifulsoup4)
- Apache-httpclient (kesalahan ketik dari perpustakaan Java Apache HttpClient)
- Opentk (kesalahan ketik dari perpustakaan Opentk .net)
- Seeborn (kesalahan ketik perpustakaan Python Seeborn)
Semua paket yang diidentifikasi telah ditemukan untuk berbagi infrastruktur yang sama, menggunakan muatan yang dikaburkan serupa, dan menunjuk ke alamat IP yang sama, meskipun ada daftar pemelihara yang berbeda, menunjukkan pekerjaan aktor ancaman tunggal.
“Paket yang diidentifikasi sebagai bagian dari kampanye ini berisi kode yang dikalahkan yang dirancang untuk melewati langkah -langkah keamanan, menjalankan skrip berbahaya, data sensitif exfiltrate, dan mempertahankan kegigihan pada sistem yang terkena dampak,” kata Socket.
