Peneliti keamanan siber telah menandai dua paket berbahaya yang diunggah ke repositori Python Package Index (PyPI) dan dilengkapi dengan kemampuan untuk menyaring informasi sensitif dari host yang disusupi, menurut temuan baru dari Fortinet FortiGuard Labs.
Paket tersebut, diberi nama zebo dan cometlogger, masing-masing menarik 118 dan 164 unduhan, sebelum dihapus. Menurut statistik ClickPy, sebagian besar unduhan ini berasal dari Amerika Serikat, Tiongkok, Rusia, dan India.
Zebo adalah “contoh khas malware, dengan fungsi yang dirancang untuk pengawasan, eksfiltrasi data, dan kontrol tidak sah,” kata peneliti keamanan Jenna Wang, menambahkan cometlogger “juga menunjukkan tanda-tanda perilaku jahat, termasuk manipulasi file dinamis, injeksi webhook, mencuri informasi, dan anti-[virtual machine] memeriksa.”
Paket pertama dari dua paket, zebo, menggunakan teknik kebingungan, seperti string yang dikodekan hex, untuk menyembunyikan URL server perintah-dan-kontrol (C2) yang berkomunikasi dengannya melalui permintaan HTTP.
Ini juga dikemas dalam banyak fitur untuk mengumpulkan data, termasuk memanfaatkan perpustakaan pynput untuk menangkap penekanan tombol dan ImageGrab untuk mengambil tangkapan layar secara berkala setiap jam dan menyimpannya ke folder lokal, sebelum mengunggahnya ke layanan hosting gambar gratis ImgBB menggunakan API kunci diambil dari server C2.
Selain mengeksfiltrasi data sensitif, malware ini menyiapkan persistensi pada mesin dengan membuat skrip batch yang meluncurkan kode Python dan menambahkannya ke folder Startup Windows sehingga secara otomatis dijalankan setiap kali reboot.
Cometlogger, di sisi lain, memiliki banyak fitur, menyedot berbagai informasi, termasuk cookie, kata sandi, token, dan data terkait akun dari aplikasi seperti Discord, Steam, Instagram, X, TikTok, Reddit, Kedutan, Spotify, dan Roblox.
Ia juga mampu mengumpulkan metadata sistem, informasi jaringan dan Wi-Fi, daftar proses yang berjalan, dan konten clipboard. Selain itu, ini mencakup pemeriksaan untuk menghindari berjalan di lingkungan tervirtualisasi dan menghentikan proses terkait browser web untuk memastikan akses file tidak dibatasi.
“Dengan menjalankan tugas secara asinkron, skrip ini memaksimalkan efisiensi, mencuri data dalam jumlah besar dalam waktu singkat,” kata Wang.
“Meskipun beberapa fitur dapat menjadi bagian dari alat yang sah, kurangnya transparansi dan fungsi yang mencurigakan membuatnya tidak aman untuk dijalankan. Selalu teliti kode sebelum menjalankannya dan hindari interaksi dengan skrip dari sumber yang tidak terverifikasi.”
