Administrator repositori Python Package Index (PyPI) telah mengkarantina paket “aiocpa” menyusul pembaruan baru yang menyertakan kode berbahaya untuk mengekstrak kunci pribadi melalui Telegram.
Paket yang dimaksud digambarkan sebagai klien Crypto Pay API yang sinkron dan asinkron. Paket yang awalnya dirilis pada September 2024 ini telah diunduh sebanyak 12.100 kali hingga saat ini.
Dengan mengkarantina pustaka Python, ini mencegah instalasi lebih lanjut oleh klien dan tidak dapat dimodifikasi oleh pengelolanya.
Perusahaan keamanan siber Phylum, yang membagikan rincian serangan rantai pasokan perangkat lunak minggu lalu, mengatakan pembuat paket tersebut menerbitkan pembaruan berbahaya ke PyPI, sambil menjaga repositori GitHub perpustakaan tetap bersih dalam upaya menghindari deteksi.
Saat ini tidak jelas apakah pengembang asli berada di balik pembaruan jahat tersebut atau apakah kredensial mereka disusupi oleh pelaku ancaman lain.
Tanda-tanda aktivitas jahat pertama kali terlihat di perpustakaan versi 0.1.13, yang mencakup perubahan pada skrip Python “sync.py” yang dirancang untuk memecahkan kode dan menjalankan gumpalan kode yang dikaburkan segera setelah paket diinstal.
“Gumpalan khusus ini dikodekan dan dikompresi secara rekursif sebanyak 50 kali,” kata Phylum, seraya menambahkan bahwa gumpalan tersebut digunakan untuk menangkap dan mengirimkan token API Crypto Pay korban menggunakan bot Telegram.
Perlu dicatat bahwa Crypto Pay diiklankan sebagai sistem pembayaran berdasarkan Crypto Bot (@CryptoBot) yang memungkinkan pengguna menerima pembayaran dalam kripto dan mentransfer koin ke pengguna menggunakan API.
Insiden ini penting, salah satunya karena menyoroti pentingnya pemindaian kode sumber paket sebelum mengunduhnya, dibandingkan hanya memeriksa repositori terkait.
“Seperti yang dibuktikan di sini, penyerang dapat dengan sengaja menjaga repositori sumber tetap bersih sambil mendistribusikan paket berbahaya ke ekosistem,” kata perusahaan tersebut, seraya menambahkan bahwa serangan tersebut “berfungsi sebagai pengingat bahwa catatan keamanan paket sebelumnya tidak menjamin keamanannya yang berkelanjutan.”