Pelaku ancaman mengunggah paket Python berbahaya ke repositori PyPI dan mempromosikannya melalui platform tanya jawab daring StackExchange.
Paket-paket tersebut diberi nama ‘tipe-splBahasa Indonesia:sinarBahasa Indonesia:sol-strukturBahasa Indonesia:instruksi sol,’ Dan ‘raydium SDK‘ dan mengunduh skrip yang mencuri data sensitif dari peramban, aplikasi perpesanan (Telegram, Signal, Session), dan detail dompet mata uang kripto (Exodus, Electrum, Monero).
Malware pencuri informasi juga dapat mencuri berkas dengan kata kunci tertentu serta mengambil tangkapan layar, dan mengirimkan semua data ke saluran Telegram.
Para peneliti di perusahaan pengujian keamanan aplikasi Checkmarx mengatakan bahwa meskipun paket-paket tersebut diunggah ke PyPI pada tanggal 25 Juni tetapi menerima komponen berbahaya dalam pembaruan pada tanggal 3 Juli.
Paket-paket tersebut tidak lagi ada di PyPI, paket-paket tersebut telah diunduh sebanyak 2082 kali.
Sumber: Checkmarx
Penyalahgunaan StackExchange
Berdasarkan Investigasi Checkmarxpara penyerang secara khusus menargetkan pengguna yang terlibat dalam proyek blockchain Raydium dan Solana.
Fakta bahwa Raydium tidak memiliki pustaka Python menciptakan peluang eksploitasi bagi para penyerang, yang menggunakan nama tersebut untuk paket mereka tanpa harus menggunakan typosquatting atau teknik penipuan lainnya.
Untuk mempromosikan paket ke target yang tepat, penyerang membuat akun di StackExchange dan meninggalkan komentar di bawah thread populer yang berisi tautan ke paket berbahaya.
Topik yang dipilih terkait dengan nama paket, dan jawaban yang diberikan berkualitas tinggi, sehingga korban dapat tergoda mengunduh paket berbahaya.
Sumber: Checkmarx
Dengan lebih dari dua ribu potensi infeksi, sulit memperkirakan dampak kampanye ini, tetapi peneliti Checkmarx menyajikan beberapa contoh korban dalam laporan mereka.
Satu kasus melibatkan seorang karyawan IT yang dompet mata uang kripto Solana miliknya terkuras akibat infeksi tersebut.
Pada contoh kedua, malware menangkap tangkapan layar kunci pribadi korban, yang dapat digunakan untuk melewati perlindungan MFA dan membajak akun bahkan tanpa kata sandi.
Khususnya, tangkapan layar itu menunjukkan bahwa pemindaian Perlindungan Virus dan Ancaman Windows gagal mendeteksi ancaman yang berjalan di perangkat korban.
Sumber: Checkmarx
Taktik ini sudah pernah digunakan sebelumnya. Kasus serupa pernah terjadi dilaporkan oleh Sonatype pada Mei 2024 dan terlibat dalam promosi paket Python berbahaya di PyPI melalui jawaban StackOverflow.
Sebagian besar pengembang perangkat lunak adalah orang-orang yang suka menolong, siap untuk membuat skrip, atau menunjukkan skrip yang dapat mempermudah pekerjaan. Namun, menggunakan skrip dari platform yang sah saja tidak cukup karena pembuatnya juga harus dapat dipercaya.
Meski begitu, memeriksa kode sebelum menggunakannya adalah cara terbaik untuk memastikan bahwa kode tersebut belum dimodifikasi di kemudian hari untuk tujuan jahat, seperti yang terjadi pada kampanye yang dijelaskan oleh Checkmarx.
