Waspadai 116 Paket Python Berbahaya yang Menyebarkan Malware ke Sistem

Paket Python Berbahaya yang Menginfeksi Sistem dengan Backdoor

Para peneliti keamanan siber telah mengidentifikasi 116 paket berbahaya di repositori Python Package Index (PyPI) yang dirancang untuk menginfeksi sistem Windows dan Linux dengan backdoor khusus.

“Dalam beberapa kasus, muatan akhirnya adalah varian dari W4SP Stealer yang terkenal, atau monitor clipboard sederhana untuk mencuri mata uang kripto, atau keduanya,” kata peneliti ESET Marc-Etienne M.Léveillé dan Rene Holt dalam laporan yang dipublikasikan awal minggu ini.

Paket-paket tersebut diperkirakan telah diunduh lebih dari 10.000 kali sejak Mei 2023.

Teknik Penyisipan Kode Jahat

Pelaku ancaman di balik aktivitas ini telah diamati menggunakan tiga teknik untuk menyelipkan kode jahat ke dalam paket Python, yaitu melalui skrip test.py, menyematkan PowerShell di file setup.py, dan memasukkannya dalam bentuk tersamarkan di file init.py.

Terlepas dari metode yang digunakan, tujuan akhir dari kampanye ini adalah untuk mengompromikan host yang ditargetkan dengan malware, terutama backdoor yang mampu mengeksekusi perintah jarak jauh, mengeksfiltrasi data, dan mengambil tangkapan layar. Modul backdoor diimplementasikan dalam Python untuk Windows dan dalam Go untuk Linux.

Selain itu, rantai serangan juga berakhir dengan penyebaran W4SP Stealer atau malware clipper yang dirancang untuk mengawasi aktivitas clipboard korban dan menukar alamat dompet asli, jika ada, dengan alamat yang dikendalikan oleh penyerang.

PyPI Repository

Pengembangan ini adalah yang terbaru dalam gelombang paket Python yang dikompromikan yang dilepaskan oleh penyerang untuk meracuni ekosistem open-source dan mendistribusikan berbagai jenis malware untuk serangan rantai pasokan.

Ini juga merupakan tambahan terbaru untuk aliran paket PyPI palsu yang bertindak sebagai saluran sembunyi-sembunyi untuk mendistribusikan malware pencuri. Pada Mei 2023, ESET mengungkapkan kelompok perpustakaan lain yang dirancang untuk menyebarkan Sordeal Stealer, yang meminjam fitur-fiturnya dari W4SP Stealer.

Kemudian, bulan lalu, paket berbahaya yang menyamar sebagai alat penyamaran yang tampaknya tidak berbahaya ditemukan menyebar malware pencuri yang diberi kode nama BlazeStealer.

“Para pengembang Python harus memeriksa dengan teliti kode yang mereka unduh, terutama memeriksa teknik-teknik ini, sebelum menginstalnya di sistem mereka,” para peneliti memperingatkan.

Pengungkapan ini juga mengikuti penemuan paket npm yang ditemukan menargetkan lembaga keuangan yang tidak disebutkan namanya sebagai bagian dari “latihan simulasi lawan lanjutan”. Nama-nama modul, yang berisi blob terenkripsi, telah ditahan untuk melindungi identitas organisasi tersebut.

“Muatan ini berisi biner tertanam yang dengan cerdik mengeksfiltrasi kredensial pengguna ke webhook Microsoft Teams yang bersifat internal untuk perusahaan target yang bersangkutan,” kata perusahaan keamanan rantai pasokan perangkat lunak Phylum minggu lalu.

Source: link