10 Paket Berbahaya PyPI Ditemukan Mencuri Kredensial Pengembang

Paket Berbahaya PyPI - Dalam kasus lain dari paket berbahaya yang menyusup ke repositori kode publik, sepuluh modul telah dihapus dari Python Package Index (PyPI) karena kemampuannya untuk mengumpulkan point data penting termasuk password dan API token. 

Menurut perusahaan cybersecurity Israel, Check Point, paket-paket itu "menginstal info-stealer yang memungkinkan penyerang mencuri data pribadi dan kredensial pribadi pengembang."

Ringkasan singkat tentang paket yang bermasalah di bawah ini :

• Ascii2text, yang mengunduh skrip berbahaya yang mengumpulkan kredensial dari browser online termasuk Google Chrome, Microsoft Edge, Brave, Opera, dan Yandex Browser.
• Test-async dan Zlibsrc, mendownload dan mengeksekusi kode berbahaya, selama instalasi.
  
• Pyg-utils, Pymocks, dan PyProto2, semuanya dirancang untuk mencuri kredensial AWS dari pengguna.
• Free-net-vpn, Free-net-vpn2, dan WINRPCexploit, yang mencuri kredensial pengguna dan variabel environment.

• Browserdiv, yang mampu mengumpulkan kredensial dan informasi lain yang disimpan di folder Penyimpanan Lokal browser web.

Pengungkapan ini adalah yang terbaru dari serangkaian kasus baru-baru ini di mana aktor ancaman mengunggah perangkat lunak jahat pada repositori perangkat lunak yang banyak digunakan seperti PyPI dan Node Package Manager (NPM) dengan tujuan mengganggu supply chain perangkat lunak.

Cuplikan berbahaya di dalam __init__.py. Source : checkpoint.com

Skrip berbahaya yang didownload. Source : checkpoint.com

Paket NPM Berbahaya Mencuri Token Discord dan Informasi Kartu Kredit

Faktanya, meningkatnya risiko yang ditimbulkan oleh kasus tersebut menekankan pentingnya meninjau dan melakukan uji tuntas sebelum memperoleh perangkat lunak pihak ketiga dan sumber terbuka dari repositori publik.

Kaspersky baru-baru ini menemukan empat perpustakaan di registri paket NPM, termasuk small-sm, pern-valids, lifeculer, dan proc-title, yang berisi kode Python dan JavaScript berbahaya yang dirancang untuk mencuri token Discord dan informasi kartu kredit terkait.

Kampanye LofyLife menunjukkan bagaimana layanan tersebut telah terbukti menjadi vektor serangan yang menguntungkan bagi penyerang untuk menjangkau sejumlah besar pengguna hilir dengan menyamarkan malware sebagai perpustakaan yang tampaknya bermanfaat.

Menurut para peneliti, "supply chain attack bertujuan untuk mengeksploitasi hubungan kepercayaan antara perusahaan dan mitra eksternal." "Koneksi ini mungkin melibatkan kemitraan, hubungan vendor, atau penggunaan perangkat lunak pihak ketiga."

"Cybercriminal akan berkompromi satu perusahaan dan kemudian naik ke supply chain, memanfaatkan hubungan tepercaya ini untuk mendapatkan akses ke lingkungan perusahaan lain."

Karena meningkatnya penggunaan repositori perangkat lunak open source untuk menyebarkan malware, GitHub telah mengeluarkan request for comments (RFC) baru untuk mekanisme opt-in yang memungkinkan pengelola paket untuk menandatangani dan memverifikasi paket yang diterbitkan ke NPM bersama dengan Sigstore.