Phát hiện 10 thư viện Python đánh cắp thông tin đăng nhập trên kho lưu trữ PyPI

[HustReMw]

Công ty an ninh mạng Check Point đã phát hiện 10 thư viện trên kho lưu trữ PyPI cho phép kẻ tấn công lấy cắp dữ liệu cá nhân và thông tin cá nhân của nhà phát triển. Hiện tại, các thư viện này đã bị xóa bỏ khỏi PyPI.
​

Tóm vắt về các thư viện độc hại:​

• Ascii2text: Thu thập mật khẩu trong các trình duyệt web như Google Chrome, Microsoft Edge, Brave, Opera và Yandex Browser​
• Pyg-utils, Pymocks, and PyProto2: Lấy cắp thông tin đăng nhập AWS​
• Test-async and Zlibsrc: Tải và thực thi mã đôc trong quá trình cài đặt​
• Free-net-vpn, Free-net-vpn2, and WINRPCexploit: Đánh cắp thông tin đăng nhận và các biến môi trường của máy​
• Browserdiv: Thu thập thông tin xác thực, thông tin lưu trong thư mục Local Storage của trình duyệt​

Đây là phát hiện mới nhất trong danh sách các trường hợp hacker tung các phần mềm giả mạo trên các kho phần mềm được sử dụng rộng rãi như PyPI và Node Package Manager (NPM) với mục tiêu làm gián đoạn chuỗi cung ứng phần mềm.​

Thư viện độc hại đánh cắp token tài khoản Discord và dữ liệu thẻ ngân hàng​

Chỉ trong tháng trước, Kaspersky đã tiết lộ 4 thư viện viz small-sm, pern-valids, liveseculer và proc-title có chứa mã Python và JavaScript độc hại được thiết kế để lấy cắp mã token Discord và thông tin thẻ tín dụng.

Chiến dịch này đặt tên là LofyLife, nó là một phương tiện tấn công hiệu quả, tiếp cận một lượng đáng kể người dùng bằng cách biến phần mềm độc hại thành các thư viện có vẻ hữu ích.

Các nhà nghiên cứu cho biết, các cuộc tấn công vào chuỗi cung ứng được thiết kế để khai thác các mối quan hệ tin cậy giữa các tổ chức với nhau "Các tác nhân đe dọa mạng sẽ tấn công vào một tổ chức, sau đó tấn công vào lên chuỗi cung ứng, tận dụng các mối quan hệ đáng tin cậy để giành quyền truy cập vào môi trường của các tổ chức khác".​

Nguồn: The Hacker News​