27 Paket PyPI Berbahaya dengan Ribuan Unduhan Ditemukan Menargetkan Pakar IT

The Hacker News

Cyberthreat.id - Aktor ancaman yang tidak diketahui diamati menerbitkan paket kesalahan ketik ke repositori Python Package Index (PyPI) selama hampir enam bulan. Tujuannya untuk mengirimkan malware yang mampu bertahan, mencuri data sensitif, dan mengakses dompet mata uang kripto untuk keuntungan finansial.

27 paket, yang menyamar sebagai perpustakaan Python populer yang sah, menarik ribuan unduhan, kata Checkmarx dalam laporan terbaru sebagaimana dikutip The Hacker News.

Mayoritas unduhan berasal dari AS, Tiongkok, Prancis, Hong Kong, Jerman, Rusia, Irlandia, Singapura, Inggris, dan Jepang.

“Karakteristik yang menentukan dari serangan ini adalah penggunaan steganografi untuk menyembunyikan muatan berbahaya di dalam file gambar yang tampak tidak berbahaya, sehingga meningkatkan kerahasiaan serangan tersebut,” kata perusahaan keamanan rantai pasokan perangkat lunak tersebut.

Beberapa paketnya adalah pyefflorer, pyminor, pyowler, pystallerer, pystob, dan pywool yang terakhir ditanam pada 13 Mei 2023.

Penyebut yang umum untuk paket-paket ini adalah penggunaan skrip setup.py untuk menyertakan referensi ke paket jahat lainnya (yaitu, pystob dan pywool) yang menyebarkan Visual Basic Script (VBScript) untuk mengunduh dan mengeksekusi file bernama "Runtime. exe" untuk mencapai persistensi pada host.

Tertanam di dalam biner adalah file terkompilasi yang mampu mengumpulkan informasi dari browser web, dompet mata uang kripto, dan aplikasi lainnya.

Rantai serangan alternatif yang diamati oleh Checkmarx dikatakan telah menyembunyikan kode yang dapat dieksekusi dalam gambar PNG ("uwu.png"), yang kemudian didekodekan dan dijalankan untuk mengekstrak alamat IP publik dan pengidentifikasi unik universal (UUID) dari pihak yang terkena dampak.

Pystob dan Pywool, khususnya, diterbitkan dengan kedok alat untuk manajemen API, hanya untuk mengekstrak data ke webhook Discord dan mencoba mempertahankan persistensi dengan menempatkan file VBS di folder startup Windows.

“Kampanye ini berfungsi sebagai pengingat akan ancaman yang selalu ada dalam lanskap digital saat ini, khususnya di bidang-bidang di mana kolaborasi dan pertukaran kode terbuka adalah hal yang mendasar,” kata Checkmarx.

Perkembangan ini terjadi ketika ReversingLabs menemukan gelombang baru paket protesware npm yang "menyembunyikan skrip yang menyiarkan pesan perdamaian terkait dengan konflik di Ukraina dan di Israel serta Jalur Gaza."

Salah satu paket, bernama @snyk/sweater-comb (versi 2.1.1), menentukan lokasi geografis host, dan jika ternyata Rusia, akan menampilkan pesan yang mengkritik "invasi tidak adil" ke Ukraina melalui modul lain yang disebut "es5-perpanjang."

Paket lain, e2eakarev, memiliki deskripsi "paket protes Palestina bebas" di file package.json, dan melakukan pemeriksaan serupa untuk melihat apakah alamat IP ditetapkan ke Israel, dan jika ya, catat apa yang digambarkan sebagai "pesan protes tidak berbahaya" yang mendesak pengembang untuk meningkatkan kesadaran tentang perjuangan Palestina.

Bukan hanya pelaku ancaman yang menyusup ke ekosistem sumber terbuka. Awal pekan ini, GitGuardian mengungkapkan keberadaan total 3,938 rahasia unik di 2,922 proyek PyPI, di mana 768 rahasia unik ditemukan valid.

Ini termasuk kunci AWS, kunci API Azure Active Directory, kunci aplikasi GitHub OAuth, kunci Dropbox, kunci SSH, dan kredensial yang terkait dengan MongoDB, MySQL, PostgreSQL, Coinbase, dan Twilio.

Terlebih lagi, banyak dari rahasia ini yang bocor lebih dari satu kali, mencakup beberapa versi rilis, sehingga jumlah total kemunculannya menjadi 56.866.

“Mengungkap rahasia dalam paket sumber terbuka membawa risiko yang signifikan bagi pengembang dan pengguna,” kata Tom Forbes dari GitGuardian. “Penyerang dapat mengeksploitasi informasi ini untuk mendapatkan akses tidak sah, menyamar sebagai pengelola paket, atau memanipulasi pengguna melalui taktik rekayasa sosial.”

Gelombang serangan yang terus-menerus menargetkan rantai pasokan perangkat lunak juga telah mendorong pemerintah AS untuk mengeluarkan panduan baru pada bulan ini bagi pengembang dan pemasok perangkat lunak untuk menjaga dan memberikan kesadaran tentang keamanan perangkat lunak.

“Direkomendasikan agar organisasi akuisisi menetapkan penilaian risiko rantai pasokan pada keputusan pembelian mereka mengingat insiden rantai pasokan perangkat lunak yang sangat terkenal baru-baru ini,” Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Kantor Direktur Badan Intelijen Negara (ODNI) mengatakan.

“Pengembang dan pemasok perangkat lunak harus meningkatkan proses pengembangan perangkat lunak mereka dan mengurangi risiko kerugian tidak hanya terhadap karyawan dan pemegang saham, tetapi juga bagi penggunanya.”[]