หรับระบบ Linux สคริปต์ Python จะเชื่อมต่อกับ URL ที่ 39.107.154[.]72 และไพพ์เอาต์พุตไปยัง
Bash Shell แต่โฮสต์นั้นหยุดทำงานในขณะที่เขียน จึงไม่ชัดเจนว่าคำสั่งใดที่ดำเนินการ แต่เชื่อว่ามันจะเปิด
Reverse Shell ส่วน Windows และ macOS เพย์โหลดจะเป็น Cobalt Strike ซึ่งให้การเข้าถึงระยะไกลไปยังอุปกรณ์ที่ติดไวรัส โดยในระบบ Windows สคริปต์ Python พยายามวาง Cobalt Strike ที่ ‘C:\Users\Public\iexplorer.exe’
และในระบบ OS เป้าหมาย คือ ‘win.exe’ และ ‘macOS’ โดยมันจะพยายามติดต่อที่อยู่ IP ของจีนหลังจากเริ่มทำงาน
การโจมตีนี้มีจุดมุ่งหมายเพื่อให้สามารถเข้าถึงเครือข่ายของนักพัฒนาได้ในเบื้องต้น ทำให้สามารถแพร่กระจายผ่านเครือข่ายเพื่อขโมยข้อมูล, วางมัลแวร์ หรือทำการโจมตีแรนซัมแวร์
IP IOCs:
- 39.107.154[.]72
- 39.106.227[.]92
File IOCs:
win.exe | 137edba65b32868fbf557c07469888e7104d44911cd589190f53f6900d1f3dfb |
MacOS | b117f042fe9bac7c7d39eab98891c2465ef45612f5355beea8d3c4ebd0665b45 |
pymafka-3.0.tar.gz | 4de4f47b7f30ae31585636afd0d25416918d244fcc9dfe50967a47f68bb79ce1 |
File Path IOCs:
- C:\Users\Public\iexplorer.exe
คำแนะนำ
- ตรวจสอบก่อนดาวน์โหลดแพ็คเกจทุกครั้ง โดยสามารถตรวจสอบได้จากคำอธิบายที่ไม่ละเอียดและไม่มีอ้างอิง ส่วนใหญ่จะเป็นอันตราย
- ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่
- ควรแสกนไวรัสอย่างสม่ำเสมอ
- ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น
- ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่
(https://www.virustotal.com/gui/home/upload)
Ref:https://www.bleepingcomputer.com/news/security/malicious-pypi-package-opens-backdoors-on-windows-linux-and-macs/