Satu set paket Python berbahaya baru telah ditemukan di repositori Python Package Index (PyPI). Paket-paket tersebut dirancang untuk mencuri informasi sensitif dari sistem pengembang yang disusupi. Paket-paket tersebut disamarkan sebagai alat kebingungan yang tampaknya tidak berbahaya, namun berisi malware bernama BlazeStealer, yang mengambil skrip berbahaya tambahan dari sumber eksternal. Hal ini memungkinkan bot Discord memberi penyerang kendali penuh atas komputer korban. Malware ini dirancang untuk mencuri kredensial aplikasi pengguna Windows, data pribadi, dan informasi pelacakan untuk dompet mata uang kripto mereka.
PyPI adalah gudang resmi paket perangkat lunak Python dan banyak digunakan oleh pengembang untuk menemukan dan menginstal perpustakaan dan alat yang berguna untuk proyek mereka. Sayangnya, popularitasnya menjadikannya target yang menarik bagi pelaku ancaman yang menargetkan pengembang atau proyek mereka. PyPI tidak memiliki sumber daya untuk memeriksa semua paket yang diunggah, sehingga bergantung pada laporan pengguna untuk menemukan dan menghapus file berbahaya. Namun, pada saat dihapus, paket yang buruk biasanya berjumlah beberapa ratus unduhan.
Paket berbahaya yang ditemukan di PyPI dimaksudkan untuk mencuri kredensial aplikasi, data pribadi, dan informasi dompet mata uang kripto. Paket-paket tersebut tidak memiliki repositori GitHub terkait, yang biasanya ditemukan pada paket-paket yang sah. Ini mungkin menunjukkan keinginan untuk menyembunyikan kode dari pandangan. Hal ini, ditambah dengan jumlah unduhan yang terbatas, semakin menimbulkan kecurigaan.
Kampanye malware ini merupakan pengingat bahwa pengembang harus waspada saat menginstal paket dari PyPI. Mereka harus memverifikasi keaslian paket dan menggunakan sumber terpercaya saat menginstal dependensi. Selain itu, organisasi harus menerapkan langkah-langkah keamanan seperti pemindaian dan pemantauan otomatis untuk mendeteksi dan mencegah serangan dalam rantai pasokan perangkat lunak mereka.
Kampanye ini dimulai pada Januari 2023 dan melibatkan delapan paket bernama Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse, dan pyobfgood. Paket-paket ini berisi file setup.py dan init.py yang mengambil skrip Python yang dihosting di transfer[.]sh, yang dijalankan segera setelah instalasi. Malware tersebut, yang disebut BlazeStealer, menjalankan bot Discord yang memungkinkan pelaku ancaman mengumpulkan berbagai informasi, termasuk kata sandi dari browser web dan tangkapan layar, menjalankan perintah sewenang-wenang, mengenkripsi file, dan menonaktifkan Microsoft Defender Antivirus pada host yang terinfeksi.
Penemuan paket berbahaya di PyPI bukanlah hal baru. Pada bulan Maret 2023, peneliti menemukan enam paket berbahaya di PyPI yang menargetkan pengguna Windows. Paket tersebut dimaksudkan untuk mencuri kredensial aplikasi, data pribadi, dan informasi dompet mata uang kripto. Pada Januari 2023, Fortinet menemukan tiga paket berbahaya di PyPI yang membawa kode untuk menjatuhkan malware pencuri informasi ke sistem pengembang. Pada bulan Februari 2023, perusahaan keamanan Phylum menemukan lebih dari 400 paket berbahaya di PyPI yang berisi muatan berbahaya yang hampir sama. Pada bulan Mei 2023, administrator PyPI untuk sementara menonaktifkan pendaftaran pengguna baru dan pengunggahan paket karena banyaknya pengguna dan proyek jahat yang dibuat di indeks. Pada bulan Juni 2023, lebih dari 45.000 pengguna menjadi korban paket PyPI berbahaya.
Penemuan BlazeStealer dalam paket PyPI baru-baru ini merupakan pengingat akan pentingnya keamanan siber dalam proses pengembangan perangkat lunak. Pengembang dan organisasi harus mengambil langkah-langkah untuk melindungi diri mereka dari jenis serangan ini, termasuk memverifikasi keaslian paket dan menerapkan langkah-langkah keamanan untuk mendeteksi dan mencegah serangan dalam rantai pasokan perangkat lunak mereka. PyPI juga harus mempertimbangkan penerapan langkah-langkah keamanan yang lebih ketat untuk mencegah paket berbahaya diunggah ke repositori.
Selain itu, berpotensi membuat komputer tidak dapat dioperasikan dengan meningkatkan penggunaan CPU, menyematkan skrip Windows Batch di direktori startup untuk mematikan mesin, dan bahkan menyebabkan kesalahan layar biru kematian (BSoD).
“Masuk akal jika pengembang yang menggunakan pengaburan kode cenderung menangani informasi berharga dan sensitif, menjadikannya target yang menarik bagi peretas,” kata Gelb.
Mayoritas unduhan yang terkait dengan paket berbahaya ini berasal dari AS, diikuti oleh Tiongkok, Rusia, Irlandia, Hong Kong, Kroasia, Prancis, dan Spanyol. Secara kolektif, semuanya diunduh 2.438 kali sebelum dihapus.
“Meskipun domain sumber terbuka adalah tempat berkembang biaknya inovasi, kehati-hatian sangatlah penting,” Gelb menekankan. “Pengembang harus tetap waspada dan memeriksa paket secara menyeluruh sebelum menerapkannya.”
Sumber :
https://unit42.paloaltonetworks.com/malicious-packages-in-pypi/
https://arstechnica.com/information-technology/2023/02/451-malicious-packages-available-in-pypi-contained-crypto-stealing-malware/
https://thehackernews.com/2023/06/malicious-pypi-packages-using-compiled.html?m=1
https://blog.sonatype.com/top-8-malicious-attacks-recently-found-on-pypi
https://www.bleepingcomputer.com/news/security/malicious-lolip0p-pypi-packages-install-info-stealing-malware/
https://cyble.com/blog/over-45-thousand-users-fell-victim-to-malicious-pypi-packages/