PyPI là kho lưu trữ mở gồm các gói phần mềm được cộng đồng Python phát triển nhằm giúp rút ngắn thời gian xây dựng hoặc cập nhật ứng dụng. Mặc dù hầu hết các gói được tải lên PyPI đều được thực hiện bởi những cá nhân tận tâm nhằm hỗ trợ cộng đồng Python, nhưng các tác nhân đe dọa cũng đã lợi dụng kho lưu trữ này để phát tán các gói bị nhiễm phần mềm độc hại.
Các gói chứa phần mềm độc hại được đặt tên là nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends và TestLibs11, được tải lên bởi một tác nhân đe dọa có tên “WS”. Các gói này kết hợp mã nguồn PE được mã hóa Base64 hoặc các tập lệnh Python khác trong các tệp setup.py của chúng. Tùy thuộc vào hệ điều hành trên thiết bị nạn nhân, payload độc hại cuối cùng sẽ bị loại bỏ và thực thi khi các gói Python này được cài đặt.
Hình 1. Dòng thời gian về các gói độc hại trên kho lưu trữ PyPI của tài khoản WS
Các gói được phát hành trước tháng 12/2023 rất giống với các gói đã từng được Fortinet công bố. Cụ thể, các gói trên PyPI triển khai phần mềm độc hại WhiteSnake PE nếu thiết bị của nạn nhân chạy trên Windows hoặc có thể phân phối tập lệnh Python được thiết kế để đánh cắp thông tin từ các thiết bị Linux. Một điểm khác biệt đặc biệt nằm ở phương pháp mới hiện đang được tập lệnh Python sử dụng để truyền dữ liệu bị đánh cắp. Thay vì dựa vào một URL cố định duy nhất, các biến thể phần mềm độc hại mới này sử dụng nhiều địa chỉ IP làm đích đến, có khả năng đảm bảo truyền dữ liệu thành công ngay cả khi một máy chủ bị lỗi.
Payload PE của gói sGMM
Không giống như các payload WhiteSnake PE trước đây được phát triển bằng .NET, payload trong các gói độc hại lần này biểu hiện dưới dạng tệp thực thi do Python biên dịch được tạo bằng công cụ PyInstaller. Sau khi kiểm tra nội dung của gói sau khi trích xuất, tệp tập lệnh chính được hiển thị dưới dạng main.pyc với bản sao addresses.py.
Hình 2. Tệp được giải nén
Khi dịch ngược main.pyc, các nhà nghiên cứu nhận thấy rằng mã nguồn có phần chưa được hoàn thiện. Trong Hình 3, tập lệnh bao gồm các hành động sao chép chính nó vào thư mục Startup Windows để tự động chạy khi khởi động. Ngoài ra, tập lệnh này cũng cố gắng sao chép chính nó vào các ổ đĩa vật lý khác.
Hình 3. Dịch ngược tệp main.pyc
Cuối cùng, tập lệnh truy xuất nội dung trong clipboard và so sánh chúng với các mẫu địa chỉ tiền điện tử được xác định trước. Việc phát hiện ra các mẫu trùng khớp sẽ nhắc tập lệnh ghi đè lên clipboard bằng các địa chỉ tương ứng có nguồn gốc từ tệp addresses.py. Điều này có thể đánh lừa những nạn nhân không nghi ngờ hướng những thứ như giao dịch tiền điện tử đến một điểm đến không mong muốn.
Hình 4. Tệp addresses.py
Payload PE của các gói myGens và NewGends
Payload này là một tệp thực thi .NET được mã hóa. Sau khi được cài đặt trên thiết bị của người dùng, payload sẽ khởi chạy một cửa sổ vô hình cmd.exe. Sau đó, sử dụng tiến trình powershell.exe thông qua cửa sổ này để thêm chính nó vào danh sách loại trừ của Windows Defender để vượt qua kiểm tra bảo mật.
Hình 5. Payload thêm vào danh sách loại trừ của Windows Defender
Payload này tự sao chép vào thư mục Windows Application và tạo một tác vụ theo lịch trình để tự động chạy mỗi giờ sau khi thiết bị bị nhiễm:
Hình 6. Payload xác nhận việc sao chép chính nó và lập lịch tác vụ
Mỗi khi thực thi tác vụ, payload sẽ thiết lập kết nối đến IP độc hại tại địa chỉ: 194[.]36[.]177[.]30, sử dụng socket.io để kết nối máy chủ với máy khách. Bằng cách này, nếu mất kết nối, nó sẽ tự động thử kết nối lại.
Hình 7. Giải mã “socket.io” và IP
Chức năng chính của payload này là cố gắng thu thập thông tin người dùng, chẳng hạn như địa chỉ IP, thông tin đăng nhập máy chủ,…
Hình 8. Thu thập thông tin người dùng
Hình 9, 10 và 11 dưới đây thể hiện rõ hơn về khả năng đánh cắp thông tin của payload. Các nhà nghiên cứu tiết lộ rằng payload không chỉ ghi lại các tương tác chuột và bàn phím mà còn thu thập và truyền dữ liệu ví điện tử cũng trình duyệt đến máy chủ từ xa do tin tặc kiểm soát.
Hình 9. Danh sách thuộc tính của chức năng đánh cắp thông tin
Hình 10. Đoạn mã hiển thị việc thu thập ví điện tử
Hình 11. Chức năng hiển thị đánh cắp thông tin trên trình duyệt
Payload PE của gói TestLibs111
Khi thử nghiệm với gói TestLibs111, các nhà nghiên cứu có thể quan sát dữ liệu được gửi đến một địa chỉ IP đáng ngờ (194[.]36[.]177[.]30), như trong Hình 12. Qua phân tích, các nhà nghiên cứu nhận thấy đây là một tệp .zip được bảo vệ trong nhiều lớp mã hóa. Điều này làm dấy lên mối lo ngại nghiêm trọng về hành vi của nó.
Hình 12. Lưu lượng gửi đến địa chỉ IP 194[.]36[.]177[.]30
Khi giải mã, các nhà nghiên cứu xác định “PK” là byte ban đầu, biểu thị định dạng tệp .zip.
Hình 13. Trích xuất định dạng hex của tệp .zip
Sau khi gỡ lỗi, có một số dấu hiệu cho thấy những thông tin nào được các tác nhân đe dọa thu thập. Hình 14 thể hiện một số chuỗi mã ASCII có thể cho thấy hoạt động đánh cắp thông tin từ các dịch vụ khác nhau, chẳng hạn như trình duyệt, ứng dụng và dịch vụ tiền điện tử, bao gồm Chrome, Discord, Filezilla và Coinbase.
Hình 14. Các chuỗi tìm thấy trong mã hợp ngữ
Khi giải nén tệp .zip, có thể thấy một số nội dung được thu thập (Hình 15). Sau đó, các thông tin này sẽ được lọc và gửi đến máy chủ.
Hình 15. Nội dung giải nén
KẾT LUẬN
Không giống như các cuộc tấn công trước đó nhắm vào cả người dùng Windows và Linux, các gói độc hại trên kho lưu trữ PyPI tập trung chủ yếu vào người dùng Windows. Mặc dù payload thực thi của mỗi gói có đôi chút khác nhau nhưng chúng luôn nhằm mục đích chung là đánh cắp thông tin nhạy cảm từ nạn nhân.
Đáng chú ý, một số gói giả mạo mới được phát hiện cũng được quan sát thấy kết hợp chức năng clipper để ghi đè nội dung clipboard bằng địa chỉ ví do kẻ tấn công kiểm soát để thực hiện các giao dịch trái phép. Một số khác đã được cấu hình để đánh cắp dữ liệu từ trình duyệt, ứng dụng và dịch vụ tiền điện tử.
Thành Vinh
(Tổng hợp)
08:00 | 25/01/2024
09:00 | 27/10/2023
08:00 | 12/03/2024
10:00 | 02/06/2023
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
15:00 | 15/07/2024
Các nhà nghiên cứu bảo mật tới từ công ty an ninh mạng XLab (Slovenia) mới đây đã phát hiện ra một mạng botnet mới có tên Zergeca được viết bằng ngôn ngữ Golang, có khả năng thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) một cách mạnh mẽ.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024