มีการค้นพบชุดแพ็คเกจอันตรายใน PyPI ซึ่งถูกปลอมแปลงเป็นบริการการกู้คืนและจัดการกระเป๋าเงินคริปโต

มีการค้นพบชุดแพ็คเกจอันตรายใหม่ใน Python Package Index (PyPI) ซึ่งถูกปลอมแปลงเป็นบริการการกู้คืนและจัดการกระเป๋าเงินคริปโตแต่แท้จริงแล้วถูกใช้เพื่อขโมยข้อมูลสำคัญและเอาทรัพย์สินดิจิทัลที่มีค่าไป

การโจมตีครั้งนี้มุ่งเป้าผู้ใช้งานกระเป๋าเงินคริปโตที่มีชื่อเสียงอย่าง Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus และกระเป๋าเงินอื่นๆ ที่เป็นที่นิยมในวงการคริปโต ผู้โจมตีได้ปลอมแปลงแพ็คเกจเหล่านี้ให้ดูเหมือนเป็นเครื่องมือที่ใช้สำหรับกู้คืน mnemonic phrases และถอดรหัสข้อมูลกระเป๋าเงิน ซึ่งดูเหมือนว่าจะให้ประโยชน์แก่ผู้ใช้งานคริปโตที่ต้องการกู้คืนหรือจัดการกระเป๋าเงินของตน

นักวิจัยจาก Checkmarx ชื่อ Yehuda Gelb ได้เผยแพร่การวิเคราะห์เมื่อวันอังคารที่ผ่านมา โดยระบุว่าแพ็คเกจเหล่านี้ถูกออกแบบมาเพื่อหลอกล่อให้ผู้ใช้งานเชื่อว่าเป็นเครื่องมือที่มีประโยชน์ แต่จริงๆ แล้วถูกใช้เพื่อขโมยข้อมูลสำคัญของผู้ใช้

เหตุการณ์นี้ชี้ให้เห็นถึงความสำคัญของการดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และระมัดระวังในการใช้งานข้อมูลสำคัญ โดยเฉพาะในวงการคริปโตเคอร์เรนซี

มัลแวร์ที่ซ่อนตัวอยู่ในแพ็คเกจเหล่านี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น private keys, mnemonic phrases และข้อมูลอื่นๆ ที่เกี่ยวข้องกับกระเป๋าเงินคริปโต เช่น ประวัติการทำธุรกรรมหรือยอดคงเหลือในกระเป๋าเงิน

แพ็คเกจอันตรายเหล่านี้ได้รับความสนใจและมีการดาวน์โหลดหลายร้อยครั้งก่อนที่จะถูกลบออกจากคลัง PyPI ซึ่งแต่ละแพ็คเกจมีจำนวนการดาวน์โหลดดังนี้:

atomicdecoderss (366 ดาวน์โหลด)
trondecoderss (240 ดาวน์โหลด)
phantomdecoderss (449 ดาวน์โหลด)
trustdecoderss (466 ดาวน์โหลด)
exodusdecoderss (422 ดาวน์โหลด)
walletdecoderss (232 ดาวน์โหลด)
ccl-localstoragerss (335 ดาวน์โหลด)
exodushcates (415 ดาวน์โหลด)
cipherbcryptors (450 ดาวน์โหลด)
ccl_leveldbases (407 ดาวน์โหลด)
นักวิจัยจาก Checkmarx ระบุว่า แพ็คเกจเหล่านี้ถูกตั้งชื่ออย่างจงใจเพื่อดึงดูดนักพัฒนาที่ทำงานในวงการคริปโตเคอร์เรนซี และเพื่อเพิ่มความน่าเชื่อถือให้กับแพ็คเกจ ปลอมแปลงเหล่านี้ยังมาพร้อมกับคำอธิบายในการติดตั้ง ตัวอย่างการใช้งาน และแม้กระทั่ง “แนวปฏิบัติที่ดีที่สุด” สำหรับการใช้ในสภาพแวดล้อมเสมือนจริง

กลยุทธ์ในการหลอกลวงของผู้โจมตีไม่ได้หยุดเพียงการสร้างแพ็คเกจปลอมเท่านั้น แต่ยังสามารถแสดงสถิติการดาวน์โหลดที่เป็นเท็จ ทำให้ผู้ใช้เชื่อว่าแพ็คเกจเหล่านี้ได้รับความนิยมและมีความน่าเชื่อถือ

ในจำนวนแพ็คเกจ PyPI ที่ถูกระบุ 6 รายการ พบว่ามีการใช้แพ็คเกจที่ชื่อว่า cipherbcryptors เป็นตัวทำงานมัลแวร์ ขณะที่แพ็คเกจอื่นๆ บางรายการยังอาศัยแพ็คเกจเพิ่มเติมที่ชื่อ ccl_leveldbases ในความพยายามที่จะซ่อนฟังก์ชันที่เป็นอันตราย

จุดเด่นของแพ็คเกจเหล่านี้คือ ฟังก์ชันที่เป็นอันตรายจะถูกกระตุ้นก็ต่อเมื่อมีการเรียกใช้ฟังก์ชันบางอย่าง ซึ่งแตกต่างจากการทำงานแบบปกติที่มักจะเริ่มทำงานอัตโนมัติทันทีที่ติดตั้ง หลังจากข้อมูลสำคัญถูกดักจับ ข้อมูลเหล่านี้จะถูกส่งออกไปยังเซิร์ฟเวอร์ระยะไกล

นอกจากนี้ ผู้โจมตียังใช้เทคนิคที่เรียกว่า dead drop resolver ซึ่งช่วยให้ผู้โจมตีสามารถปรับเปลี่ยนที่อยู่ของเซิร์ฟเวอร์ควบคุม (command and control server) ได้โดยไม่จำเป็นต้องอัปเดตแพ็คเกจ ทำให้ผู้โจมตีสามารถย้ายโครงสร้างพื้นฐานได้ง่ายหากเซิร์ฟเวอร์ถูกปิดตัวลง

“การโจมตีนี้ใช้ประโยชน์จากความไว้วางใจในชุมชนโอเพ่นซอร์สและฟังก์ชันการจัดการกระเป๋าเงินคริปโตที่ดูมีประโยชน์ ซึ่งอาจส่งผลกระทบกับผู้ใช้งานคริปโตที่หลากหลาย” Gelb กล่าว

“ความซับซ้อนของการโจมตี ตั้งแต่การหลอกลวงด้วยแพ็คเกจไปจนถึงความสามารถในการโจมตีที่ซับซ้อนและการใช้ไลบรารีที่เป็นอันตราย แสดงให้เห็นถึงความสำคัญของมาตรการรักษาความปลอดภัยที่ครอบคลุมและการเฝ้าระวังอย่างต่อเนื่อง”

การพัฒนาในครั้งนี้ถือเป็นหนึ่งในชุดแคมเปญการโจมตีที่มีเป้าหมายในวงการคริปโตเคอร์เรนซี ซึ่งผู้ไม่หวังดีต่างหาหนทางใหม่ๆ ในการขโมยเงินจากกระเป๋าเงินของเหยื่ออย่างต่อเนื่อง

ที่มา : thehackernews