May 24, 2024

อีกแล้ว! พบโค้ดอันตรายหลบอยู่ในแพ็กเกจ PyPI Python ใน 4 รายการ

มีแพ็กเกจ Python Package Index (PyPI) 4 รายการที่พบกิจกรรมที่เป็นอันตราย ไม่ว่าจะเป็นการแอบหย่อนมัลแวร์ ลบยูทิลิตี้ netstat, ไปจนถึงควบคุมจัดการไฟล์ SSH authorized_keys ทั้ง 4 แพ็กเกจนี้ได้แก่ aptx, bingchilling2, httops, และ tkint3rs

ทั้งหมดนี้ถูกดาวน์โหลดไปแล้วกว่า 450 ครั้งก่อนถูกเอาลงจากรีโป แพ็กเกจพวกนี้ใช้การตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม แค่พิมพ์เพี้ยนไปนิดหน่อยก็กลายเป็นลงมัลแวร์ไปซะงั้น เช่น aptx คล้ายกับ codec ระบบเสียงของ Qualcomm ตัวยอดนิยม

ส่วนตัว httops และ tkint3rs เจตนาให้เพี้ยนจากชื่อ https และ tkinter เป็นต้น จากการตรวจสอบสคริปต์ติดตั้งของแพ็กเกจพบว่า มีเปย์โหลด Meterpreter ที่ปลอมตัวเป็น pip ที่เป็นตัวติดตั้งแพ็กเกจทางการของ Python ปั่นโค้ดซ่อนอยู่

โค้ดนี้มีการลบทูลคอมมานด์ไลน์ netstat ที่เราใช้ในการตรวจสอบการตั้งค่าและกิจกรรมต่างๆ บนเครือข่าย รวมถึงแก้ไขไฟล์ .ssh/authorized_keys เพื่อสร้างประตูหลังผ่าน SSH ให้เข้าถึงระบบจากระยะไกลได้ในภายหลังอีก ถือเป็นตัวอย่างภัยร้ายที่มาจากโลกโอเพ่นซอร์สอีกครั้งหนึ่ง

อ่านเพิ่มเติมที่นี่ – THN