ระวัง!! แพ็คเกจ PyPI ที่เป็นอันตรายจะวาง Backdoors บน  Windows, Linux และ Macs 


พบแพ็คเกจของ Python ที่เป็นตัวอันตรายอีกตัวใน PyPI Registry โดยจะทำการโจมตีซัพพลายเชน  
เพื่อวาง Cobalt Strike beacons และ backdoors บนระบบ Windows, Linux และ macOS  

PyPI เป็นที่เก็บข้อมูลของแพ็คเกจ Open-Source ที่นักพัฒนาสามารถใช้เพื่อแบ่งปันงาน, ดาวน์โหลดไลบรารีการทำงานที่จำเป็นสำหรับโครงการ โดยเมื่อวันที่ 17 พฤษภาคม พบผู้ไม่ประสงค์ดีได้อัปโหลดแพ็คเกจที่เป็นอันตราย 
ชื่อ ‘pymafka’ ไปยัง PyPI และมียอดดาวน์โหลด 325 ครั้งก่อนที่จะถูกลบ อย่างไรก็ตามมันยังคงสามารถสร้างความเสียหายต่อผู้ที่ได้รับผลกระทบ เนื่องจากอนุญาตให้เข้าถึงเครือข่ายภายในของนักพัฒนาในเบื้องต้น  
โดยนักพัฒนาที่ดาวน์โหลดมาจะต้องตรวจสอบ Cobalt Strike beacon และ Linux backdoors ในระบบทันที 

การติดไวรัสเริ่มต้นด้วยการดำเนินการของสคริปต์ ‘setup.py’ ที่พบในแพ็คเกจ เมื่อสคริปต์นี้ตรวจพบระบบปฏิบัติการของโฮสต์ และขึ้นอยู่กับว่าเป็น Windows, Linux หรือ Darwin (macOS) มันจะดึงข้อมูลเพย์โหลด 
ที่เป็นอันตรายซึ่งทำงานบนระบบได้ 

หรับระบบ Linux สคริปต์ Python จะเชื่อมต่อกับ URL ที่ 39.107.154[.]72 และไพพ์เอาต์พุตไปยัง  
Bash Shell แต่โฮสต์นั้นหยุดทำงานในขณะที่เขียน จึงไม่ชัดเจนว่าคำสั่งใดที่ดำเนินการ แต่เชื่อว่ามันจะเปิด  
Reverse Shell ส่วน Windows และ macOS เพย์โหลดจะเป็น Cobalt Strike ซึ่งให้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ติดไวรัส โดยในระบบ Windows สคริปต์ Python พยายามวาง Cobalt Strike ที่ ‘C:\Users\Public\iexplorer.exe’ 

และในระบบ OS เป้าหมาย คือ ‘win.exe’ และ ‘macOS’ โดยมันจะพยายามติดต่อที่อยู่ IP ของจีนหลังจากเริ่มทำงาน 

การโจมตีนี้มีจุดมุ่งหมายเพื่อให้สามารถเข้าถึงเครือข่ายของนักพัฒนาได้ในเบื้องต้น ทำให้สามารถแพร่กระจายผ่านเครือข่ายเพื่อขโมยข้อมูล, วางมัลแวร์ หรือทำการโจมตีแรนซัมแวร์ 

IP IOCs: 

  • 39.107.154[.]72 
  • 39.106.227[.]92 

File IOCs: 

win.exe 137edba65b32868fbf557c07469888e7104d44911cd589190f53f6900d1f3dfb 
MacOS b117f042fe9bac7c7d39eab98891c2465ef45612f5355beea8d3c4ebd0665b45 
pymafka-3.0.tar.gz 4de4f47b7f30ae31585636afd0d25416918d244fcc9dfe50967a47f68bb79ce1 

File Path IOCs: 

  • C:\Users\Public\iexplorer.exe 

คำแนะนำ 

  1. ตรวจสอบก่อนดาวน์โหลดแพ็คเกจทุกครั้ง โดยสามารถตรวจสอบได้จากคำอธิบายที่ไม่ละเอียดและไม่มีอ้างอิง ส่วนใหญ่จะเป็นอันตราย 
  1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ 
  1. ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 
  1. ควรแสกนไวรัสอย่างสม่ำเสมอ 
  1. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 
  1. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 

(https://www.virustotal.com/gui/home/upload

Ref:https://www.bleepingcomputer.com/news/security/malicious-pypi-package-opens-backdoors-on-windows-linux-and-macs/ 

Share