Tags:
Node Thumbnail

JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

จุดน่าสนใจคือ JFrog พบว่าแฮกเกอร์ที่วางแพ็กเกจเหล่านี้มีกระบวนการส่งคำสั่งไปยังมัลแวร์ในแพ็กเกจเหล่านี้ซับซ้อนขึ้นเครื่อยๆ บางแพ็กเกจใช้ trevorc2 เพื่อปลอมเว็บส่งคำสั่งเป็นเว็บไม่มีพิษมีภัย บางแพ็กเกจอาศัย DNS tunneling, บางอันขโมยข้อมูลส่งผ่าน Discord มีเพียงตัวเดียวเท่านั้นที่เชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุมตรงๆ

แพ็กเกจมุ่งร้ายอันหนึ่งอาศัยการเชื่อมต่อผ่านบริการ CDN ของ Fastly โดยเชื่อมต่อเข้าไปยังโดเมน pypi.org แต่แก้ HTTP Header ให้ฟิลด์ Host เป็นโดเมนของคนร้าย ทำให้ไฟร์วอลล์ไม่สามารถตรวจจับได้ว่าที่จริงแล้วมัลแวร์กำลังติดต่อกับเซิร์ฟเวอร์ควบคุมอยู่

ที่มา - JFrog

No Description

ภาพโดย geralt

Get latest news from Blognone

Comments

By: tontan
ContributorAndroidSymbianUbuntu
on 22 November 2021 - 11:09 #1232316
tontan's picture

รูปประกอบ Py60 symbian ในตำนาน


บล็อก: wannaphong.com และ Python 3

By: Azymik on 22 November 2021 - 12:19 #1232339

รายแพ็กเกจที่พบได้แก่ >> รายชื่อแพ็กเกจที่พบได้แก่

By: UncleEngineer on 22 November 2021 - 13:50 #1232357
UncleEngineer's picture

ยอมรับว่า Python เป็นภาษาที่เขียนโปรแกรมแฮ็กได้ง่ายมาก ...ตอนนี้ Windows มี Python อยู่ในเครื่องทุกเครื่องแล้ว แฮ็กเกอร์แค่เขียนสคริปต์ไม่กี่บรรทัดใส่ในคอมก็สามารถขโมยไฟล์ สั่งเปิดช่องโหว่ได้สบายมาก ....วิธีแก้คือ ก่อนจะติดตั้ง package ผ่าน pip ให้ไปค้นหาในคอมมิวนิตี้ก่อนว่า package ตัวนั้นมีความนิยมมากน้อยแค่ไหน ....บทความนี้ดีมาก ขอบคุณครับ

By: btoy
ContributorAndroidWindows
on 22 November 2021 - 15:26 #1232365
btoy's picture

ตอนนี้เรื่อง Cyber Security กลายเป็นมาหัวข้อหลักที่ต้องเอามาใส่สำหรับคอร์สเขียนโปรแกรม ไม่ว่าจะเป็นในระดับมหาลัยหรือตามคอร์สทั่วไป


..: เรื่อยไป