มีผู้ไม่ประสงค์ดีได้ Upload PyPI (Python Package Index) ที่บรรจุ 3 Packages ที่เป็นอันตราย โดยมี code ด้านในเพื่อฝัง Malware ขโมยข้อมูลบนระบบของผู้พัฒนา Packages อันตรายนี้ ถูกพบโดยทาง Fortinet ทั้งหมดถูก upload โดยใช้ชื่อผู้สร้างเดียวกันคือ Lolipop โดยจะมีชื่อ ‘colorslib’, ‘httpslib’, ‘libhttps’ ซึ่งทั้งหมดถูกลบออกจาก PyPI แล้ว
แต่ด้วยความเป็นที่นิยม จึงยังคงเป็นเป้าหมายของผู้ไม่ประสงค์ดี โดยทั่วไปแล้ว Packages ที่เป็นอันตรายเหล่านี้จะปลอมให้ดูเป็นประโยชน์ที่สุด หรือเลียนแบบ Packages ที่มีชื่อเสียง โดยทาง PyPI ไม่สามารถตรวจสอบ Package ทั้งหมดที่ Upload ได้ แต่อาศัยการรายงานของผู้ใช้งาน เพื่อหาไฟล์ที่เป็นอันตรายแทน
ลักษณะการโจมตี
โดยทั้ง 3 Packages ที่ Fortinet ค้นพบ มีการเขียนคำอธิบายต่างๆที่สมบูรณ์มาก จึงทำให้มีโอกาสที่ผู้พัฒนาจะหลงเชื่อ ในกรณีนี้ ชื่อของ Package ไม่ได้เลียนแบบจาก projects อื่น แต่จะดึงดูดด้วยความน่าเชื่อถือ
มีการเก็บข้อมูล ทั้ง 3 Packages โดยการนับจำนวนครั้งในการ ดาวน์โหลด โดยนับจำนวนจนถึง วัน 14 มกราคม 2566 ดังนี้
- Colorslib – 248 downloads
- httpslib – 233 downloads
- libhttps – 68 downloads
โดยทั้ง 3 Packages จะมีไฟล์ที่เหมือนกันคือ ‘setup.py’ โดยไฟล์นี้จะพยายามเปิด Powershell เพื่อดึงไฟล์บางอย่างมาเรียกใช้ จาก URL ในชื่อ ‘Oxyz.exe’ ซึ่งเป็นส่วนหนึ่งของ Malware ขโมยข้อมูลของ Browser
และอีกหนึ่งไฟล์ที่ดึงมา ได้ถูกตั้งค่าบน VirusTotal ให้เป็นอันตรายในชื่อ ‘Update.exe’ จะส่งหลายไฟล์มายังเครื่อง host หนึ่งในนั้นคือ ‘SearchProtocalHost.exe’ ที่ถูกชี้ว่าเป็นตัวขโมยข้อมูล จากบริให้บริการ antivirus บางเจ้า
อย่างไรก็ตาม หลังจากลบ Packages เหล่านี้จาก PyPI ผู้ไม่ประสงค์ดีก็สามารถกลับมา upload ขึ้นมาใหม่ด้วยการเปลี่ยนชื่อเท่านั้น เพื่อความปลอดภัย Software Developers ควรจะมีความรอบคอบ ในการดาวน์โหลด Packages ควรเช็คผู้เขียน code และคำวิจารณ์ ว่าเป็น Code อันตรายที่จงใจเขียนขึ้นมาหรือไม่
ไม่มีความคิดเห็น:
แสดงความคิดเห็น