Peneliti Mengungkap 3 Paket PyPI Menyebarkan Malware ke Sistem Developer

idNSA.id - Pelaku ancaman bernama Lolip0p telah mengunggah tiga paket nakal ke repositori Python Package Index (PyPI) yang dirancang untuk menjatuhkan malware pada sistem developer yang disusupi.

Paket – bernama colorslib (versi 4.6.11 dan 4.6.12), httpslib (versi 4.6.9 dan 4.6.11), dan libhttps (versi 4.6.12) – oleh penulis antara 7 Januari 2023, dan 12 Januari, 2023. Mereka telah ditarik dari PyPI tetapi sebelumnya diunduh secara kumulatif lebih dari 550 kali.

Modul dilengkapi dengan skrip pengaturan identik yang dirancang untuk menjalankan PowerShell dan menjalankan biner berbahaya (" Oxzy.exe ") yang dihosting di Dropbox, Fortinet mengungkapkan dalam laporan.

Eksekusi, setelah diluncurkan, memicu pengambilan tahap berikutnya, juga biner bernama update.exe, yang berjalan di folder sementara Windows ("%USER%\AppData\Local\Temp\").

update.exe ditandai oleh vendor antivirus di VirusTotal sebagai pencuri informasi yang juga mampu membuang binari tambahan, salah satunya terdeteksi oleh Microsoft sebagai Wacatac.

Pembuat Windows menggambarkan trojan sebagai ancaman yang "dapat melakukan sejumlah tindakan pilihan peretas jahat di PC Anda," termasuk mengirimkan ransomware dan muatan lainnya.

"Penulis juga memposisikan setiap paket sebagai paket yang sah dan bersih dengan menyertakan deskripsi proyek yang meyakinkan," kata peneliti Fortinet FortiGuard Labs, Jin Lee. "Namun, paket-paket ini mengunduh dan menjalankan biner berbahaya yang dapat dieksekusi."

Pengungkapan tersebut terjadi beberapa minggu setelah Fortinet menemukan dua paket jahat lainnya bernama Shaderz dan aioconsol yang memiliki kemampuan serupa untuk mengumpulkan dan mengekstraksi informasi pribadi yang sensitif.

Temuan ini sekali lagi menunjukkan aliran aktivitas berbahaya yang direkam dalam repositori paket open source yang populer, di mana pelaku ancaman memanfaatkan hubungan kepercayaan untuk menanamkan kode tercemar guna memperkuat dan memperluas jangkauan infeksi.

Pengguna disarankan untuk berhati-hati saat mengunduh dan menjalankan paket dari penulis yang tidak tepercaya untuk menghindari menjadi mangsa serangan rantai pasokan.