Επτά πακέτα κακόβουλων PYPI βρέθηκαν χρησιμοποιώντας διακομιστές SMTP της GMail και websockets για εξαίρεση δεδομένων και εκτέλεση απομακρυσμένης εντολής.
Τα πακέτα ανακαλύφθηκαν από Ομάδα ερευνητικής απειλής της Socketοι οποίοι ανέφεραν τα ευρήματά τους στο PYPI, με αποτέλεσμα την απομάκρυνση των πακέτων.
Ωστόσο, μερικά από αυτά τα πακέτα ήταν στο PYPI για πάνω από τέσσερα χρόνια, και με βάση Μετρητές λήψης τρίτων μερώντο ένα λήφθηκε πάνω από 18.000 φορές.
Εδώ είναι η πλήρης λίστα που μοιράζεται η υποδοχή:
- COFFIN-CODES-PRO (9.000 λήψεις)
- COFFIN-CODES-NET2 (6.200 λήψεις)
- COFFIN-CODES-NET (6,100 λήψεις)
- COFFIN-CODES-2022 (18.100 λήψεις)
- COFFIN2022 (6.500 λήψεις)
- (6.500 λήψεις)
- CFC-BSB (2.900 λήψεις)
Τα πακέτα «φέρετρου» φαίνεται να μιμούνται το νόμιμο πακέτο φέρετρου Αυτό χρησιμεύει ως ελαφρύς προσαρμογέας για την ενσωμάτωση των προτύπων Jinja2 σε έργα Django.
Η κακή υποδοχή λειτουργικότητας που ανακαλύφθηκε σε αυτά τα πακέτα επικεντρώνεται σε συγκαλυμμένη απομακρυσμένη πρόσβαση και εξαίρεση δεδομένων μέσω του Gmail.
Τα πακέτα χρησιμοποιούσαν τα διαπιστευτήρια Gmail Hardcoded για να συνδεθούν στον διακομιστή SMTP της υπηρεσίας (SMPT.GMail.com), στέλνοντας πληροφορίες αναγνώρισης για να επιτρέψουν στον εισβολέα να έχει πρόσβαση σε απόσταση του συμβιβασμένου συστήματος.
Καθώς το Gmail είναι μια αξιόπιστη υπηρεσία, τα τείχη προστασίας και οι EDR είναι απίθανο να επισημάνουν αυτή τη δραστηριότητα ως ύποπτη.
Μετά το στάδιο σηματοδότησης ηλεκτρονικού ταχυδρομείου, το εμφύτευμα συνδέεται με έναν απομακρυσμένο διακομιστή χρησιμοποιώντας το Websocket Over SSL, λαμβάνοντας οδηγίες διαμόρφωσης σήραγγας για να δημιουργήσει μια επίμονη, κρυπτογραφημένη, αμφίδρομη σήραγγα από τον οικοδεσπότη στον εισβολέα.
Χρησιμοποιώντας μια κλάση ‘πελάτη’, το κακόβουλο λογισμικό προωθεί την κυκλοφορία από τον απομακρυσμένο κεντρικό υπολογιστή στο τοπικό σύστημα μέσω της σήραγγας, επιτρέποντας την πρόσβαση του εσωτερικού διαχειριστή και την πρόσβαση API, τη μεταφορά αρχείων, την εξάσκηση ηλεκτρονικού ταχυδρομείου, την εκτέλεση της εντολής κελύφους, τη συγκομιδή των διαπιστευτηρίων και την πλευρική κίνηση.
Η υποδοχή αναδεικνύει ισχυρούς δείκτες πιθανής πρόθεσης κλοπής κρυπτογράφησης για αυτά τα πακέτα, που εμφανίζονται στις διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν (π.χ. [email protected]) και παρόμοιες τακτικές που χρησιμοποιήθηκαν στο παρελθόν για να κλέψουν ιδιωτικά κλειδιά της Solana.
Εάν έχετε εγκαταστήσει κάποιο από αυτά τα πακέτα στο περιβάλλον σας, αφαιρέστε τα αμέσως και περιστρέψτε τα πλήκτρα και τα διαπιστευτήρια όπως απαιτείται.
Μια σχετική έκθεση που δημοσιεύθηκε σχεδόν ταυτόχρονα από Σθεναπισμός Ο ερευνητής και ο συνάδελφός του, ο δημοσιογράφος Axe Sharma επικεντρώνεται σε ένα πακέτο κρυπτογράφησης που ονομάζεται «Crypto-Encrypt-Ts», που βρέθηκε στο NPM.
Το πακέτο μεταμφιέζεται ως έκδοση TypeScript της δημοφιλούς αλλά τώρα μη διατηρημένης βιβλιοθήκης «Cryptojs», ενώ εκτοξεύει τα μυστικά του πορτοφολιού κρυπτογράφησης και τις μεταβλητές του περιβάλλοντος σε έναν ηθοποιό που ελέγχεται από έναν ηθοποιό καλύτερο τελικό σημείο στοίβας.
Το κακόβουλο πακέτο, το οποίο παραμένει σε μολυσμένα συστήματα μέσω εργασιών Cron, στοχεύει μόνο πορτοφόλια με ισορροπίες που ξεπερνούν τα 1.000 μονάδες, προσπαθώντας να τραβήξουν τα ιδιωτικά κλειδιά τους.
Το πακέτο λήφθηκε σχεδόν 2.000 φορές πριν αναφερθεί και απομακρυνθεί από το NPM.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
