ระวัง!! แพ็คเกจ PyPI ที่เป็นอันตรายจะวาง Backdoors บน  Windows, Linux และ Macs 

By admin News

พบแพ็คเกจของ Python ที่เป็นตัวอันตรายอีกตัวใน PyPI Registry โดยจะทำการโจมตีซัพพลายเชน  
เพื่อวาง Cobalt Strike beacons และ backdoors บนระบบ Windows, Linux และ macOS  

PyPI เป็นที่เก็บข้อมูลของแพ็คเกจ Open-Source ที่นักพัฒนาสามารถใช้เพื่อแบ่งปันงาน, ดาวน์โหลดไลบรารีการทำงานที่จำเป็นสำหรับโครงการ โดยเมื่อวันที่ 17 พฤษภาคม พบผู้ไม่ประสงค์ดีได้อัปโหลดแพ็คเกจที่เป็นอันตราย 
ชื่อ ‘pymafka’ ไปยัง PyPI และมียอดดาวน์โหลด 325 ครั้งก่อนที่จะถูกลบ อย่างไรก็ตามมันยังคงสามารถสร้างความเสียหายต่อผู้ที่ได้รับผลกระทบ เนื่องจากอนุญาตให้เข้าถึงเครือข่ายภายในของนักพัฒนาในเบื้องต้น  
โดยนักพัฒนาที่ดาวน์โหลดมาจะต้องตรวจสอบ Cobalt Strike beacon และ Linux backdoors ในระบบทันที 

การติดไวรัสเริ่มต้นด้วยการดำเนินการของสคริปต์ ‘setup.py’ ที่พบในแพ็คเกจ เมื่อสคริปต์นี้ตรวจพบระบบปฏิบัติการของโฮสต์ และขึ้นอยู่กับว่าเป็น Windows, Linux หรือ Darwin (macOS) มันจะดึงข้อมูลเพย์โหลด 
ที่เป็นอันตรายซึ่งทำงานบนระบบได้ 

หรับระบบ Linux สคริปต์ Python จะเชื่อมต่อกับ URL ที่ 39.107.154[.]72 และไพพ์เอาต์พุตไปยัง  
Bash Shell แต่โฮสต์นั้นหยุดทำงานในขณะที่เขียน จึงไม่ชัดเจนว่าคำสั่งใดที่ดำเนินการ แต่เชื่อว่ามันจะเปิด  
Reverse Shell ส่วน Windows และ macOS เพย์โหลดจะเป็น Cobalt Strike ซึ่งให้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ติดไวรัส โดยในระบบ Windows สคริปต์ Python พยายามวาง Cobalt Strike ที่ ‘C:\Users\Public\iexplorer.exe’ 

และในระบบ OS เป้าหมาย คือ ‘win.exe’ และ ‘macOS’ โดยมันจะพยายามติดต่อที่อยู่ IP ของจีนหลังจากเริ่มทำงาน 

การโจมตีนี้มีจุดมุ่งหมายเพื่อให้สามารถเข้าถึงเครือข่ายของนักพัฒนาได้ในเบื้องต้น ทำให้สามารถแพร่กระจายผ่านเครือข่ายเพื่อขโมยข้อมูล, วางมัลแวร์ หรือทำการโจมตีแรนซัมแวร์ 

IP IOCs: 

  • 39.107.154[.]72 
  • 39.106.227[.]92 

File IOCs: 

win.exe 137edba65b32868fbf557c07469888e7104d44911cd589190f53f6900d1f3dfb 
MacOS b117f042fe9bac7c7d39eab98891c2465ef45612f5355beea8d3c4ebd0665b45 
pymafka-3.0.tar.gz 4de4f47b7f30ae31585636afd0d25416918d244fcc9dfe50967a47f68bb79ce1 

File Path IOCs: 

  • C:\Users\Public\iexplorer.exe 

คำแนะนำ 

  1. ตรวจสอบก่อนดาวน์โหลดแพ็คเกจทุกครั้ง โดยสามารถตรวจสอบได้จากคำอธิบายที่ไม่ละเอียดและไม่มีอ้างอิง ส่วนใหญ่จะเป็นอันตราย 
  1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ 
  1. ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 
  1. ควรแสกนไวรัสอย่างสม่ำเสมอ 
  1. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 
  1. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 

(https://www.virustotal.com/gui/home/upload

Ref:https://www.bleepingcomputer.com/news/security/malicious-pypi-package-opens-backdoors-on-windows-linux-and-macs/ 

Share