Peneliti keamanan dunia maya telah mengidentifikasi serangkaian 116 paket berbahaya di repositori Python Package Index (PyPI) yang dirancang untuk menginfeksi sistem Windows dan Linux dengan backdoor kustom.
“Dalam beberapa kasus, payload akhirnya adalah varian dari W4SP Stealer yang terkenal, atau pemantau clipboard sederhana untuk mencuri cryptocurrency, atau keduanya,” kata peneliti ESET Marc-Etienne M.Léveillé dan Rene Holt dalam laporan yang diterbitkan awal pekan ini.
Paket-paket tersebut diperkirakan telah diunduh lebih dari 10.000 kali sejak Mei 2023.
Pelaku ancaman di belakang aktivitas ini terlihat menggunakan tiga teknik untuk menggabungkan kode berbahaya ke dalam paket Python, yaitu melalui skrip test.py, menyematkan PowerShell dalam file setup.py, dan menyertakannya dalam bentuk tersembunyi dalam file init.py.
Baik menggunakan metode apa pun, tujuan akhir dari kampanye ini adalah mengompromikan host yang ditargetkan dengan malware, terutama backdoor yang mampu eksekusi perintah jarak jauh, pengambilan data, dan pengambilan tangkapan layar. Modul backdoor diimplementasikan dalam Python untuk Windows dan dalam Go untuk Linux.
Sebagai alternatif, rantai serangan ini juga berakhir dengan implementasi W4SP Stealer atau malware clipper yang dirancang untuk memantau aktivitas clipboard korban dan menukar alamat dompet asli, jika ada, dengan alamat yang dikendalikan oleh penyerang.
Perkembangan ini merupakan yang terbaru dalam gelombang paket Python yang dikompromikan yang telah dilepaskan oleh penyerang untuk meracuni ekosistem sumber terbuka dan mendistribusikan berbagai macam malware untuk serangan rantai pasokan.
Ini juga merupakan tambahan terbaru dari sejumlah paket PyPI palsu yang bertindak sebagai saluran tersembunyi untuk mendistribusikan malware pencuri. Pada Mei 2023, ESET mengungkapkan kelompok lain dari perpustakaan yang dirancang untuk menyebarkan Sordeal Stealer, yang mengadopsi fitur dari W4SP Stealer.
Kemudian, bulan lalu, ditemukan paket berbahaya yang menyamar sebagai alat penyamaran yang tampaknya tidak berbahaya dan mendistribusikan malware pencuri yang disebut BlazeStealer.
“Para pengembang Python seharusnya benar-benar memeriksa kode yang mereka unduh, terutama memeriksa teknik-teknik ini, sebelum menginstalnya di sistem mereka,” peringatan peneliti tersebut.
Pengungkapan ini juga menyusul penemuan paket npm yang ditemukan menargetkan sebuah lembaga keuangan yang tidak disebutkan namanya sebagai bagian dari “latihan simulasi penyerang lanjutan.” Nama-nama modul, yang berisi blob terenkripsi, ditahan untuk melindungi identitas organisasi tersebut.
“Payload yang didekripsi ini mengandung biner tertanam yang cerdik mengirimkan kredensial pengguna ke webhook Microsoft Teams yang bersifat internal untuk perusahaan target tersebut,” ungkap firma keamanan rantai pasokan perangkat lunak Phylum pekan lalu.