Aktor di balik serangan rantai pasokan PyPI telah aktif sejak akhir 2021

Repositori perangkat lunak resmi untuk bahasa Python, Indeks Paket Python (PyPI)telah ditargetkan dalam serangan rantai pasokan kompleks yang tampaknya telah berhasil meracuni setidaknya dua proyek yang sah dengan malware pencuri kredensial, kata para peneliti pada hari Kamis.

pejabat PyPI katanya minggu lalu bahwa kontributor proyek berada di bawah serangan phishing yang mencoba mengelabui mereka agar membocorkan kredensial login akun mereka. Jika berhasil, phisher menggunakan kredensial yang disusupi untuk memublikasikan malware yang menyamar sebagai rilis terbaru untuk proyek sah yang terkait dengan akun tersebut. PyPI dengan cepat menghapus pembaruan yang disusupi dan mendesak semua kontributor untuk menggunakan bentuk otentikasi dua faktor yang tahan terhadap phishing untuk melindungi akun mereka dengan lebih baik.

Pada hari Kamis, peneliti dari perusahaan keamanan SentinelOne dan Checkmarx mengatakan bahwa serangan rantai pasokan adalah bagian dari kampanye yang lebih besar oleh kelompok yang telah aktif setidaknya sejak akhir tahun lalu untuk menyebarkan malware pencuri kredensial yang disebut oleh para peneliti sebagai JuiceStealer. Awalnya, JuiceStealer disebarkan melalui teknik yang dikenal sebagai typosquatting, di mana pelaku ancaman menyemai PyPI dengan ratusan paket yang sangat mirip dengan nama paket yang sudah mapan, dengan harapan beberapa pengguna akan menginstalnya secara tidak sengaja.

JuiceStealer ditemukan di VirusTotal pada bulan Februari ketika seseorang, mungkin aktor ancaman, mengirimkan aplikasi Python yang secara diam-diam menginstal malware. JuiceStealer dikembangkan menggunakan kerangka pemrograman .Net. Ini mencari kata sandi yang disimpan oleh Google Chrome. Berdasarkan informasi yang diperoleh dari kode tersebut, para peneliti telah menghubungkan malware tersebut dengan aktivitas yang dimulai pada akhir tahun 2021 dan telah berkembang sejak saat itu. Satu kemungkinan koneksi adalah ke Nowblox, situs web scam yang menawarkan Robux gratis, mata uang online untuk game tersebut. Roblox.

Seiring waktu, aktor ancaman, yang oleh para peneliti disebut JuiceLedger, mulai menggunakan aplikasi penipuan bertema kripto seperti bot Tesla Trading, yang dikirimkan dalam file zip yang menyertai perangkat lunak tambahan yang sah.

“JuiceLedger tampaknya telah berevolusi sangat cepat dari infeksi oportunistik skala kecil hanya beberapa bulan yang lalu menjadi melakukan serangan rantai pasokan pada distributor perangkat lunak utama,” tulis para peneliti dalam sebuah posting. “Peningkatan kompleksitas dalam serangan terhadap kontributor PyPI, yang melibatkan kampanye phishing yang ditargetkan, ratusan paket yang salah ketik, dan pengambilalihan akun dari pengembang tepercaya, menunjukkan bahwa pelaku ancaman memiliki waktu dan sumber daya yang tersedia.”

PyPI telah mulai menawarkan kepada kontributor kunci berbasis perangkat keras gratis untuk digunakan dalam menyediakan faktor otentikasi kedua yang tidak dapat dipalsukan. Semua kontributor harus segera beralih ke bentuk 2FA yang lebih kuat ini. Orang yang mengunduh paket dari PyPI—atau repositori sumber terbuka lainnya—harus lebih berhati-hati untuk memastikan perangkat lunak yang mereka unduh sah.

Leave a Comment