Para peneliti keamanan siber baru-baru ini mengidentifikasi 116 paket berbahaya dalam repositori Python Package Index (PyPI), yang dirancang khusus untuk menginfeksi sistem Windows dan Linux dengan pintu belakang. Laporan yang diterbitkan awal pekan ini oleh peneliti ESET, Marc-Etienne M. Léveillé dan Rene Holt, menyoroti paket-paket ini yang dikenal untuk memantau clipboard atau menjalankan fungsi sederhana untuk mencuri mata uang kripto, atau bahkan keduanya.
Paket-paket ini diperkirakan telah diunduh lebih dari 10.000 kali sejak Mei 2023, menunjukkan tingginya potensi ancaman ini terhadap komunitas pengembang dan pengguna Python. Penemuan ini menyoroti masalah serius dalam keamanan rantai pasokan di ekosistem sumber terbuka.
Berkas init.py tampak menjadi sasaran utama, dan tujuan akhir kampanye ini adalah menyusupi host yang ditargetkan dengan malware, terutama pintu belakang yang memungkinkan penyerang mengeksekusi perintah jarak jauh, mengambil data secara eksfiltrasi, dan membuat tangkapan layar. Modul pintu belakang ini diimplementasikan dalam Python untuk Windows dan Go untuk Linux.
Modus operandi malware ini mencakup pemantauan aktivitas clipboard korban dan penggantian alamat dompet kripto asli dengan alamat yang dikendalikan oleh penyerang. Malware ini memiliki kemampuan mencuri mata uang kripto dan juga bertujuan untuk mengambil alih kendali sistem korban.
Penting untuk dicatat bahwa perkembangan ini merupakan bagian dari gelombang serangan baru yang mengincar ekosistem sumber terbuka. Sebelumnya, serangan serupa terjadi dengan paket Python yang meracuni ekosistem dan mendistribusikan campuran malware, seperti Sordeal Stealer. Menariknya, serangan ini juga mencakup paket yang menyamar sebagai alat penyamaran yang tampaknya tidak berbahaya, seperti yang terlihat pada penemuan BlazeStealer bulan lalu.
Para peneliti memperingatkan pengembang Python untuk melakukan pemeriksaan menyeluruh terhadap kode yang mereka unduh sebelum menginstalnya di sistem mereka. Tindakan pencegahan ini menjadi semakin penting mengingat adanya tren peningkatan serangan terhadap rantai pasokan sumber terbuka. Seiring dengan temuan ini, juga baru-baru ini terungkap bahwa paket npm yang ditujukan untuk lembaga keuangan telah dirancang sebagai bagian dari "latihan simulasi musuh tingkat lanjut." Nama modul dan informasi rinci telah dirahasiakan untuk melindungi identitas organisasi yang menjadi sasaran.
Source: https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html