Các chuyên gia từ công ty an ninh mạng Socket (Mỹ) vừa phát hiện bảy gói thư viện độc hại trên kho PyPI đang âm thầm đánh cắp dữ liệu và thực thi lệnh từ xa thông qua máy chủ SMTP và WebSockets của Gmail. Mặc dù các gói này hiện đã bị xóa khỏi PyPI, nhưng điều đáng lo ngại là một số gói đã tồn tại hơn 4 năm và đã được tải xuống hàng chục nghìn lần – trong đó có một gói đạt hơn 18.000 lượt tải.
Danh sách đầy đủ các gói PyPI độc hại được phát hiện bởi Socket gồm có: Coffin-Codes-Pro (9.000 lượt tải xuống), Coffin-Codes-NET2 (6.200 lượt tải xuống), Coffin-Codes-NET (6.100 lượt tải xuống), Coffin-Codes-2022 (18.100 lượt tải xuống), Coffin2022 (6.500 lượt tải xuống), Coffin-Grave (6.500 lượt tải xuống) và cfc-bsb (2.900 lượt tải xuống).
Các gói này được phát hiện mạo danh gói thư viện Coffin hợp pháp, vốn dùng để tích hợp Jinja2 vào Django. Mã độc được chèn trong các gói giả mạo cho phép tin tặc truy cập từ xa trái phép và đánh cắp dữ liệu nhạy cảm mà không bị phát hiện.
Các nhà nghiên cứu bảo mật từ Socket cảnh báo: nhiều gói PyPI độc hại vừa bị phát hiện đã sử dụng thông tin đăng nhập Gmail được mã hóa cứng để kết nối tới máy chủ SMTP ( smtp[.]gmail[.]com ), ” gửi đi email trinh sát nhằm thiết lập quyền truy cập từ xa vào hệ thống nạn nhân. Vì Gmail là một dịch vụ hợp pháp và phổ biến, các tường lửa và giải pháp EDR hiện tại gần như không phát hiện được hành vi bất thường này “
Sau khi gửi tín hiệu qua email, mã độc lập tức thiết lập kết nối WebSocket qua SSL với máy chủ điều khiển. Từ đó, nó nhận lệnh cấu hình để tạo đường hầm (tunnel) giữa hệ thống bị xâm nhập và máy chủ từ xa. Dưới lớp “Client”, kẻ tấn công có thể: Truy cập giao diện quản trị nội bộ, API, Thực hiện truyền tệp đánh cắp email, Thực thi lệnh shell, lấy thông tin đăng nhập, Thực hiện di chuyển ngang trong hệ thống nội bộ
Các nhà nghiên cứu khuyến cáo, nếu người dùng đã cài đặt bất kỳ gói nào trong số các gói đã được đề cập, hãy gỡ bỏ chúng ngay lập tức và thay đổi khóa cũng như thông tin xác thực khi cần. Ngoài ra, nên chú ý đến các kết nối đi bất thường, đặc biệt là lưu lượng SMTP, vì kẻ tấn công có thể sử dụng các dịch vụ hợp pháp như Gmail để đánh cắp dữ liệu nhạy cảm.
Để bảo vệ codebase, Luôn xác minh nguồn gốc thư viện: kiểm tra số lượt tải, liên kết đến GitHub chính chủ. Giới hạn quyền truy cập vào private key, chỉ chia sẻ với những người thực sự cần. Sử dụng môi trường biệt lập (sandbox) khi thử nghiệm thư viện bên thứ ba để giảm rủi ro từ mã độc chưa bị phát hiện.
