JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

จุดน่าสนใจคือ JFrog พบว่าแฮกเกอร์ที่วางแพ็กเกจเหล่านี้มีกระบวนการส่งคำสั่งไปยังมัลแวร์ในแพ็กเกจเหล่านี้ซับซ้อนขึ้นเครื่อยๆ บางแพ็กเกจใช้ trevorc2 เพื่อปลอมเว็บส่งคำสั่งเป็นเว็บไม่มีพิษมีภัย บางแพ็กเกจอาศัย DNS tunneling, บางอันขโมยข้อมูลส่งผ่าน Discord มีเพียงตัวเดียวเท่านั้นที่เชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุมตรงๆ

แพ็กเกจมุ่งร้ายอันหนึ่งอาศัยการเชื่อมต่อผ่านบริการ CDN ของ Fastly โดยเชื่อมต่อเข้าไปยังโดเมน pypi.org แต่แก้ HTTP Header ให้ฟิลด์ Host เป็นโดเมนของคนร้าย ทำให้ไฟร์วอลล์ไม่สามารถตรวจจับได้ว่าที่จริงแล้วมัลแวร์กำลังติดต่อกับเซิร์ฟเวอร์ควบคุมอยู่

ที่มา - JFrog

ภาพโดย geralt