Sebuah aktor ancaman yang tidak diketahui telah ditemukan mengancam ekosistem Python Package Index (PyPI) dengan menerbitkan paket kesalahan ketik yang menyembunyikan malware. Aktivitas ini diamati selama hampir enam bulan, dengan 27 paket yang menyamar sebagai perpustakaan Python populer. Menurut laporan Checkmarx, paket-paket ini berhasil menarik ribuan unduhan, terutama dari negara-negara seperti AS, Tiongkok, Prancis, Hong Kong, Jerman, Rusia, Irlandia, Singapura, Inggris, dan Jepang.
Baca Juga : Serangan Siber Baru Mengincar Google Workspace dan Google Cloud Platform
Dilansir dari Cyberthreat ID, karakteristik utama serangan ini melibatkan penggunaan steganografi untuk menyembunyikan muatan berbahaya di dalam file gambar yang tampak tidak berbahaya. Ini meningkatkan tingkat kerahasiaan serangan dan membuat deteksi menjadi lebih sulit. Beberapa paket, seperti pyefflorer, pyminor, dan pywool, telah berhasil menyelinap ke repositori sejak 13 Mei 2023.
Serangan ini menggunakan skrip setup.py untuk menyertakan referensi ke paket jahat lainnya, seperti pystob dan pywool, yang menyebarkan Visual Basic Script (VBScript) untuk mengunduh dan mengeksekusi file bernama “Runtime.exe” untuk mencapai persistensi pada host. File ini dapat mengumpulkan informasi sensitif dari browser web, dompet mata uang kripto, dan aplikasi lainnya.
Checkmarx juga mencatat rantai serangan alternatif yang menyembunyikan kode yang dapat dieksekusi dalam gambar PNG (“uwu.png”). Kode ini kemudian didekodekan dan dijalankan untuk mengekstrak alamat IP publik dan pengidentifikasi unik universal (UUID) dari pihak yang terkena dampak.
Baca Juga : Pakar Ungkap Perlindungan Data Pemilih Jadi Fokus Ancaman Siber Saat Pemilu 2024
Selain itu, gelombang baru paket protesware npm juga telah terdeteksi, menyembunyikan skrip yang menyampaikan pesan perdamaian terkait konflik di Ukraina, Israel, dan Jalur Gaza.
Keamanan ekosistem sumber terbuka semakin diperhatikan, dengan GitGuardian melaporkan keberadaan 3,938 rahasia unik di 2,922 proyek PyPI. Rahasia ini termasuk kunci API, kunci SSH, dan kredensial yang terkait dengan berbagai layanan. Penemuan ini menyoroti risiko keamanan yang signifikan dan mendorong perlunya perhatian yang lebih besar terhadap keamanan perangkat lunak.
Pemerintah AS juga merespon dengan mengeluarkan panduan baru bagi pengembang dan pemasok perangkat lunak. Panduan ini menekankan perlunya penilaian risiko rantai pasokan perangkat lunak dan meningkatkan kesadaran tentang keamanan perangkat lunak untuk melindungi tidak hanya karyawan dan pemegang saham, tetapi juga pengguna akhir.
