U još jednom znaku da hakeri uvijek traže nove načine da prevare korisnike da preuzmu zlonamjerni softver, pokazalo se da je platforma pitanja i odgovora (Q&A) poznata kao Stack Exchange zloupotrebljena da usmjeri nesuđene programere na lažne programere. Python paketi koji mogu isprazniti njihove novčanike za kriptovalute.
“Nakon instalacije, ovaj kod bi se automatski izvršio, pokretajući lanac događaja dizajniranih da kompromituju i kontrolišu sisteme žrtve, dok bi istovremeno eksfiltrirao njihove podatke i iscrpio njihove kripto novčanike”, rekli su istraživači Checkmarxa Yehuda Gelb i Tzachi Zornstain u zajedničkom izvještaju sa The Hacker News.
Kampanja, koja je započela 25. juna 2024. godine, posebno je izdvojila korisnike kriptovaluta koji su uključeni u Raydium i Solanu. Lista lažnih paketa otkrivenih u sklopu aktivnosti je navedena u nastavku –
- raydium (762 preuzimanja)
- raydium-sdk (137 preuzimanja)
- sol-instruct (115 preuzimanja)
- sol-structs (292 preuzimanja)
- spl-types (776 preuzimanja)
Paketi su zajedno preuzeti 2.082 puta. Više nisu dostupni za preuzimanje iz spremišta Python indeksa paketa (PyPI).
Zlonamjerni softver sakriven u paketu služio je potpunom krađi informacija, bacajući široku mrežu podataka, uključujući lozinke web pretraživač kolačiće i detalje o kreditnim karticama, novčanike kriptovaluta i informacije povezane s aplikacijama za razmjenu poruka kao što su Telegram, Signal i Session.
Takođe je upakovan u mogućnosti za snimanje snimaka ekrana sistema i traženje datoteka koje sadrže GitHub kodove za oporavak i BitLocker ključeve. Prikupljene informacije su zatim komprimirane i eksfiltrirane u dva različita Telegram bota koje je održavao akter prijetnje.
Odvojeno, backdoor komponenta prisutna u zlonamjernom softveru omogućila je napadaču uporan daljinski pristup mašinama žrtava, omogućavajući potencijalne buduće eksploatacije i dugoročni kompromis.
Lanac napada obuhvata više faza, pri čemu paket “raydium” navodi “spl-types” kao zavisnost u pokušaju da se prikrije zlonamjerno ponašanje i da se korisnicima ostavi utisak da je legitimno.
Značajan aspekt kampanje je upotreba Stack Exchange-a kao vektora za poticanje usvajanja objavljivanjem prividno korisnih odgovora koji upućuju na dotični paket na pitanja programera koja se odnose na obavljanje swap transakcija u Raydium-u koristeći Python.
“Odabirom teme sa visokom vidljivošću – koja je prikupila hiljade pregleda – napadač je maksimizirao svoj potencijalni cilj”, rekli su istraživači, dodajući da je to učinjeno kako bi se “dao kredibilitet ovom paketu i osiguralo njegovo široko usvajanje”.
Iako odgovor više ne postoji na Stack Exchangeu, The Hacker News je pronašao reference na “raydium” u drugom neodgovorenom pitanju objavljenom na Q&A stranici od 9. jula 2024. python 3.10.2 je instalirao solanu, lemnike i Raydium, ali ne mogu ga natjerati da radi”, rekao je korisnik.
Reference na “raydium-sdk” takođe su se pojavile u postu pod naslovom “Kako kupiti i prodati tokene na Raydium-u koristeći Python: Korak po korak Solana vodič” koji je podijelio korisnik po imenu SolanaScribe na platformi za društveno objavljivanje Medium na 29. juna 2024.
Trenutno nije jasno kada su paketi uklonjeni iz PyPI-ja, jer su još dva korisnika odgovorila na post Medium tražeći pomoć od autora o instaliranju “raydium-sdk” prije šest dana. Checkmarx je za Hacker News rekao da objava nije djelo hakera.
Ovo nije prvi put da su loši hakeri pribjegli takvoj metodi distribucije zlonamjernog softvera. Ranije ovog maja, Sonatype je otkrio kako je paket pod nazivom pytoileur promoviran putem druge usluge Q&A pod nazivom Stack Overflow kako bi se olakšala krađa kriptovalute.
Ako ništa drugo, razvoj je dokaz da napadači koriste povjerenje u ove platforme vođene zajednicom kako bi progurali zlonamjerni softver, što dovodi do velikih napada na lanac opskrbe.
„Jedan kompromitovani programer može nehotice uneti ranjivosti u softverski ekosistem čitave kompanije, potencijalno utičući na celu korporativnu mrežu“, kažu istraživači. “Ovaj napad služi kao poziv na buđenje kako pojedincima tako i organizacijama da preispitaju svoje sigurnosne strategije.”
Razvoj dolazi kada je Fortinet FortiGuard Labs detaljno opisao zlonamjerni PyPI paket nazvan zlibxjson koji je spakovao funkcije za krađu osjetljivih informacija, kao što su Discord tokeni, kolačići sačuvani u Google Chrome, Mozilla Firefox, Brave i Opera, i pohranjene lozinke iz pretraživača. Biblioteka je privukla ukupno 602 preuzimanja prije nego što je povučena iz PyPI-ja.
“Ove radnje mogu dovesti do neovlaštenog pristupa korisničkim nalozima i eksfiltracije ličnih podataka, jasno klasificirajući softver kao zlonamjeran”, rekla je istraživačica sigurnosti Jenna Wang .
Izvor:The Hacker News
