Cảnh báo các gói PyPI độc hại lợi dụng Gmail để đánh cắp dữ liệu và chiếm đoạt hệ thống

Bảy gói PyPi độc hại được phát hiện đang sử dụng máy chủ SMTP và WebSockets của Gmail để đánh cắp dữ liệu và thực thi lệnh từ xa.

Nhóm nghiên cứu mối đe dọa tới từ Công ty an ninh mạng Socket (Mỹ) đã phát hiện ra các gói độc hại và báo cáo phát hiện của họ cho PyPI, dẫn đến việc xóa các gói này. Tuy nhiên, một số gói độc hại đã có trên PyPI trong hơn 4 năm và dựa trên bộ đếm lượt tải xuống của bên thứ ba, một gói trong số đó đã được tải xuống hơn 18.000 lần.

Danh sách đầy đủ các gói PyPI độc hại được phát hiện bởi Socket gồm có: Coffin-Codes-Pro (9.000 lượt tải xuống), Coffin-Codes-NET2 (6.200 lượt tải xuống), Coffin-Codes-NET (6.100 lượt tải xuống), Coffin-Codes-2022 (18.100 lượt tải xuống), Coffin2022 (6.500 lượt tải xuống), Coffin-Grave (6.500 lượt tải xuống) và cfc-bsb (2.900 lượt tải xuống). 

Các gói “Coffin” dường như đang mạo danh gói Coffin hợp pháp đóng vai trò là Adapter để tích hợp các template Jinja2 vào các project Django. Chức năng độc hại mà Socket phát hiện trong các gói này tập trung vào việc truy cập từ xa bí mật và đánh cắp dữ liệu thông qua Gmail.

Cụ thể, các gói này sử dụng thông tin đăng nhập Gmail được mã hóa cứng để đăng nhập vào máy chủ SMTP của dịch vụ (smpt[.]gmail[.]com), gửi thông tin trinh sát để cho phép kẻ tấn công truy cập từ xa vào hệ thống bị xâm phạm. Vì Gmail là dịch vụ đáng tin cậy nên tường lửa và các giải pháp EDR khó có thể đánh dấu hoạt động này là đáng ngờ.

Sau giai đoạn gửi tín hiệu email, phần mềm độc hại sẽ kết nối với máy chủ từ xa bằng WebSocket qua SSL, nhận hướng dẫn cấu hình tunnel. Sử dụng lớp “Client”, phần mềm độc hại chuyển tiếp lưu lượng từ máy chủ từ xa đến hệ thống local thông qua đường hầm tunnel, cho phép truy cập bảng điều khiển quản trị nội bộ và API, truyền tệp, đánh cắp email, thực thi lệnh shell, thu thập thông tin đăng nhập và di chuyển ngang hàng.

Các nhà nghiên cứu khuyến cáo, nếu người dùng đã cài đặt bất kỳ gói nào trong số các gói đã được đề cập, hãy gỡ bỏ chúng ngay lập tức và thay đổi khóa cũng như thông tin xác thực khi cần. Ngoài ra, nên chú ý đến các kết nối đi bất thường, đặc biệt là lưu lượng SMTP, vì kẻ tấn công có thể sử dụng các dịch vụ hợp pháp như Gmail để đánh cắp dữ liệu nhạy cảm. Cùng với đó, người dùng không nên tin tưởng một gói nào chỉ vì nó đã tồn tại trong hơn một vài năm mà không bị gỡ xuống.

Để bảo vệ codebase, hãy luôn xác minh tính xác thực của các gói bằng cách kiểm tra số lượt tải xuống và liên kết kho lưu trữ GitHub. Duy trì kiểm soát truy cập chặt chẽ đối với private key, hạn chế cẩn thận những người có thể xem hoặc nhập chúng trong quá trình phát triển. Cuối cùng, sử dụng môi trường chuyên dụng, biệt lập khi kiểm tra các tập lệnh của bên thứ ba để phòng ngừa các đoạn mã có khả năng gây hại.