Peneliti keamanan cyber telah mengidentifikasi paket berbahaya di repositori Python Package Index (PyPI) yang mengirimkan malware pencuri informasi bernama WhiteSnake Stealer pada sistem Windows.
Paket-paket berbahaya tersebut diberi nama nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends, dan TestLibs111. Mereka diunggah oleh pelaku ancaman yang menggunakan nama "WS".
"Paket-paket ini menggabungkan kode sumber yang dienkripsi Base64 dari PE atau skrip Python lainnya dalam file setup.py mereka," kata Fortinet FortiGuard Labs dalam analisis yang diterbitkan minggu lalu.
"Tergantung pada sistem operasi perangkat korban, muatan berbahaya akhir diunduh dan dieksekusi ketika paket-paket Python ini diinstal."
Keamanan Cyber
Sementara sistem Windows terinfeksi oleh WhiteSnake Stealer, host Linux yang kompromi menerima skrip Python yang dirancang untuk mengumpulkan informasi. Aktivitas ini, yang secara dominan menargetkan pengguna Windows, tumpang tindih dengan kampanye sebelumnya yang diungkap oleh JFrog dan Checkmarx tahun lalu.
"Muatan khusus Windows diidentifikasi sebagai varian dari malware WhiteSnake [...] yang memiliki mekanisme Anti-VM, berkomunikasi dengan server C&C menggunakan protokol Tor, dan mampu mencuri informasi dari korban serta menjalankan perintah," catat JFrog pada April 2023.
Juga dirancang untuk menangkap data dari browser web, dompet kripto, dan aplikasi seperti WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal, dan Telegram.
Checkmarx melacak pelaku ancaman di balik kampanye ini dengan sebutan PYTA31, menyatakan bahwa tujuan akhirnya adalah untuk mengekstrak data sensitif, khususnya data dompet kripto, dari mesin target.
Beberapa paket nakal yang baru diunggah juga diketahui memasukkan fungsionalitas clipper untuk mengganti konten clipboard dengan alamat dompet milik penyerang untuk melakukan transaksi tanpa izin. Beberapa lainnya dikonfigurasi untuk mencuri data dari browser, aplikasi, dan layanan kripto.
Keamanan Cyber
Fortinet mengatakan temuan ini "menunjukkan kemampuan seorang penulis malware tunggal untuk menyebarkan banyak paket malware pencuri info ke perpustakaan PyPI dari waktu ke waktu, masing-masing dengan kompleksitas payload yang berbeda."
Pengungkapan ini datang saat ReversingLabs menemukan dua paket berbahaya di registri paket npm yang terbukti memanfaatkan GitHub untuk menyimpan kunci SSH yang dienkripsi Base64 yang dicuri dari sistem pengembang tempat mereka diinstal.
Source: https://thehackernews.com/2024/01/malicious-pypi-packages-slip-whitesnake.html