Mohon tunggu...
Arxx00xx
Arxx00xx Mohon Tunggu... Lainnya - Freelance/Graphic Designer

I'm student who has unlimited desires and always tries to go beyond my own limits.

Selanjutnya

Tutup

Ilmu Alam & Tekno

Para Ahli Mengidentifikasi Pencuri Informasi Berfitur Lengkap dan Trojan dalam Paket Python di PyPI

10 Maret 2023   17:54 Diperbarui: 10 Maret 2023   17:58 205
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Bagikan ide kreativitasmu dalam bentuk konten di Kompasiana | Sumber gambar: Freepik

Paket Python berbahaya yang diunggah ke Python Package Index (PyPI) telah ditemukan berisi pencuri informasi berfitur lengkap dan trojan akses jarak jauh.

Paket itu, bernama colourfool, diidentifikasi oleh tim Cyber Threat Intelligence Kroll, dengan perusahaan menyebut malware itu Buta Warna.

"Malware 'Buta Warna' menunjuk pada demokratisasi kejahatan dunia maya yang dapat mengarah pada lanskap ancaman yang semakin intensif, karena beberapa varian dapat muncul dari kode yang bersumber dari orang lain," kata peneliti Kroll Dave Truman dan George Glass dalam sebuah laporan yang dibagikan dengan The Hacker News.

colourfool, seperti modul Python nakal lainnya yang ditemukan dalam beberapa bulan terakhir, menyembunyikan kode berbahayanya dalam skrip pengaturan, yang menunjuk ke muatan arsip ZIP yang dihosting di Discord.

File ini berisi skrip Python (code.py) yang dilengkapi dengan modul berbeda yang dirancang untuk mencatat penekanan tombol, mencuri cookie, dan bahkan menonaktifkan perangkat lunak keamanan.

Malware, selain melakukan pemeriksaan penghindaran pertahanan untuk menentukan apakah itu sedang dijalankan di kotak pasir, membangun persistensi melalui skrip Visual Basic dan menggunakan transfer[.] sh untuk eksfiltrasi data.

"Sebagai metode remote control, malware memulai aplikasi web Flask, yang membuatnya dapat diakses ke internet melalui utilitas terowongan terbalik Cloudflare 'cloudflared,' melewati aturan firewall masuk," kata para peneliti.

Penggunaan terowongan Cloudflare mencerminkan kampanye lain yang diungkapkan oleh Phylum bulan lalu yang menggunakan enam paket palsu untuk mendistribusikan stealer-cum-RAT yang dijuluki poweRAT.

"Ada kesamaan yang kuat antara malware karena mereka berdua menggunakan Flask dan Cloudflare," kata Truman kepada The Hacker News. "Namun, sementara malware yang diteliti Phylum bergantung pada PowerShell untuk sebagian besar fungsi utamanya, 'Buta Warna' hampir seluruhnya ditulis dengan Python."

"Gabungkan ini dengan fungsionalitas yang disajikan oleh aplikasi web Flask yang melakukan tindakan berbeda, daripada malware yang lebih baru menambah fungsionalitas yang lebih lama, itu bisa berarti bahwa hubungan tersebut lebih dalam bentuk aktor ancaman yang berbeda berbagi ide, sumber daya atau kode, daripada evolusi basis kode yang dikembangkan oleh satu aktor, " Truman menambahkan.

Trojan ini kaya fitur dan mampu mengumpulkan kata sandi, menghentikan aplikasi, mengambil tangkapan layar, mencatat penekanan tombol, membuka halaman web sewenang-wenang di browser, menjalankan perintah, menangkap data dompet kripto, dan bahkan mengintip korban melalui kamera web.

Python Package on PyPI (thehackernews)
Python Package on PyPI (thehackernews)

Temuan ini muncul ketika aktor ancaman memanfaatkan kode sumber yang terkait dengan pencuri W4SP untuk menelurkan versi peniru yang didistribusikan melalui paket Python seperti ratebypass, imagesolverpy, dan 3m-promo-gen-api.

Terlebih lagi, Phylum menemukan tiga paket tambahan -- yang disebut pycolured, pycolurate, dan colurful -- yang telah digunakan untuk mengirimkan trojan akses jarak jauh berbasis Go yang disebut sebagai Spark.

Menambah serangan yang menargetkan PyPI, perusahaan keamanan rantai pasokan perangkat lunak juga mengungkapkan rincian kampanye serangan besar-besaran di mana aktor ancaman yang tidak dikenal menerbitkan sebanyak 1.138 paket untuk menyebarkan Rust yang dapat dieksekusi, yang kemudian digunakan untuk menjatuhkan binari malware tambahan.

"Proposisi risiko/hadiah untuk penyerang sepadan dengan waktu dan upaya yang relatif kecil, jika mereka dapat mendaratkan paus dengan dompet kripto yang gemuk," kata tim peneliti Phylum.

"Dan hilangnya beberapa bitcoin tidak ada artinya dibandingkan dengan potensi kerusakan akibat hilangnya kunci SSH pengembang di perusahaan besar seperti perusahaan atau pemerintah."

Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H

HALAMAN :
  1. 1
  2. 2
Mohon tunggu...

Lihat Konten Ilmu Alam & Tekno Selengkapnya
Lihat Ilmu Alam & Tekno Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun