Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công nhắm vào người dùng Python Package Index (PyPI). Kẻ tấn công đã tạo ra các thư viện giả mạo, trông giống như những công cụ hỗ trợ liên quan đến “time”, nhưng thực chất lại chứa mã độc có khả năng đánh cắp thông tin đăng nhập cloud.
Theo công ty bảo mật ReversingLabs, đã có tổng cộng 20 gói độc hại được phát hiện, với hơn 14.100 lượt tải xuống trước khi bị xóa khỏi PyPI. Một số package có lượng tải đáng kể gồm:
- snapshot-photo – 2.448 lượt tải
- acloud-client – 5.496 lượt tải
- enumer-iam – 1.254 lượt tải
- tcloud-python-test – 793 lượt tải
Những package độc hại này được chia thành hai nhóm:
- Nhóm đầu tiên chứa các thư viện có chức năng gửi dữ liệu đánh cắp đến máy chủ của kẻ tấn công.
- Nhóm thứ hai bao gồm các thư viện giả mạo công cụ cloud client, hỗ trợ Alibaba Cloud, AWS và Tencent Cloud, nhưng thực chất thu thập thông tin nhạy cảm từ hệ thống nạn nhân.
Một số package còn được tích hợp vào các dự án phổ biến trên GitHub, ví dụ như dự án accesskey_tools với 519 lượt star và 42 lần fork. Điều này cho thấy các package độc hại không chỉ nằm trong PyPI mà còn có thể lan sang các dự án mã nguồn mở khác. Theo cảnh báo từ Fortinet FortiGuard Labs, có hàng nghìn package độc hại được phát hiện trên các nền tảng này, trong đó nhiều gói chứa mã độc ẩn trong quá trình cài đặt, có thể kết nối với máy chủ điều khiển (C&C) hoặc đánh cắp dữ liệu.
Các chuyên gia khuyến cáo rằng, một trong những dấu hiệu quan trọng để nhận biết package độc hại là các URL đáng ngờ bên trong mã nguồn. Những URL này thường được dùng để tải về mã độc bổ sung hoặc gửi dữ liệu đánh cắp ra bên ngoài. Trong một cuộc điều tra, có 974 gói phần mềm bị phát hiện có dấu hiệu rò rỉ dữ liệu, cài thêm mã độc hoặc thực hiện các hành vi nguy hiểm khác.
Để tránh trở thành nạn nhân của các cuộc tấn công chuỗi cung ứng phần mềm, các nhà phát triển nên kiểm tra kỹ nguồn gốc các thư viện trước khi cài đặt, giám sát các dependencies, và thường xuyên cập nhật các bản vá bảo mật mới nhất.
