นักวิจัยด้านความปลอดภัยจาก Socket ได้ค้นพบ แพ็กเกจ PyPI ที่เป็นอันตราย ซึ่งใช้ เซิร์ฟเวอร์ Gmail เพื่อขโมยข้อมูลสำคัญและสื่อสารกับผู้โจมตี โดยแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 55,000 ครั้ง และบางแพ็กเกจอยู่บนแพลตฟอร์มนานถึง 4 ปี

แพ็กเกจที่เป็นอันตรายเหล่านี้มีชื่อคล้ายกับแพ็กเกจ Coffin ที่ถูกต้องตามกฎหมาย เช่น Coffin-Codes-Pro, Coffin-Codes, NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022 และ Coffin-Grave รวมถึง cfc-bsb ซึ่งทั้งหมดถูกลบออกจาก PyPI แล้ว

✅ แพ็กเกจ PyPI ที่เป็นอันตรายใช้เซิร์ฟเวอร์ Gmail เพื่อขโมยข้อมูล
- ใช้ บัญชี Gmail ที่มีรหัสผ่านฝังอยู่ในโค้ด
- สร้าง ช่องทางสื่อสารผ่าน WebSockets เพื่อหลีกเลี่ยงไฟร์วอลล์

✅ แพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 55,000 ครั้ง
- บางแพ็กเกจอยู่บน PyPI นานถึง 4 ปี
- ส่วนใหญ่เป็น การลอกเลียนแบบแพ็กเกจ Coffin

✅ Socket รายงานแพ็กเกจเหล่านี้ไปยัง PyPI และช่วยให้ถูกลบออกจากแพลตฟอร์ม
- แม้ว่าจะถูกลบไปแล้ว แต่ความเสียหายได้เกิดขึ้นแล้ว
- ผู้ใช้ที่ติดตั้งแพ็กเกจเหล่านี้ต้อง ลบออกทันทีและเปลี่ยนรหัสผ่าน

✅ เป้าหมายหลักของมัลแวร์คือการขโมยข้อมูลเกี่ยวกับคริปโตเคอร์เรนซี
- พบว่ามัลแวร์ส่งข้อมูลไปยัง บัญชี Gmail ที่มีคำว่า "blockchain" และ "bitcoin"

https://www.techradar.com/pro/security/gmail-servers-hijacked-by-malicious-pypi-packages-to-spread-havoc-heres-how-to-stay-safe
นักวิจัยด้านความปลอดภัยจาก Socket ได้ค้นพบ แพ็กเกจ PyPI ที่เป็นอันตราย ซึ่งใช้ เซิร์ฟเวอร์ Gmail เพื่อขโมยข้อมูลสำคัญและสื่อสารกับผู้โจมตี โดยแพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 55,000 ครั้ง และบางแพ็กเกจอยู่บนแพลตฟอร์มนานถึง 4 ปี แพ็กเกจที่เป็นอันตรายเหล่านี้มีชื่อคล้ายกับแพ็กเกจ Coffin ที่ถูกต้องตามกฎหมาย เช่น Coffin-Codes-Pro, Coffin-Codes, NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022 และ Coffin-Grave รวมถึง cfc-bsb ซึ่งทั้งหมดถูกลบออกจาก PyPI แล้ว ✅ แพ็กเกจ PyPI ที่เป็นอันตรายใช้เซิร์ฟเวอร์ Gmail เพื่อขโมยข้อมูล - ใช้ บัญชี Gmail ที่มีรหัสผ่านฝังอยู่ในโค้ด - สร้าง ช่องทางสื่อสารผ่าน WebSockets เพื่อหลีกเลี่ยงไฟร์วอลล์ ✅ แพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 55,000 ครั้ง - บางแพ็กเกจอยู่บน PyPI นานถึง 4 ปี - ส่วนใหญ่เป็น การลอกเลียนแบบแพ็กเกจ Coffin ✅ Socket รายงานแพ็กเกจเหล่านี้ไปยัง PyPI และช่วยให้ถูกลบออกจากแพลตฟอร์ม - แม้ว่าจะถูกลบไปแล้ว แต่ความเสียหายได้เกิดขึ้นแล้ว - ผู้ใช้ที่ติดตั้งแพ็กเกจเหล่านี้ต้อง ลบออกทันทีและเปลี่ยนรหัสผ่าน ✅ เป้าหมายหลักของมัลแวร์คือการขโมยข้อมูลเกี่ยวกับคริปโตเคอร์เรนซี - พบว่ามัลแวร์ส่งข้อมูลไปยัง บัญชี Gmail ที่มีคำว่า "blockchain" และ "bitcoin" https://www.techradar.com/pro/security/gmail-servers-hijacked-by-malicious-pypi-packages-to-spread-havoc-heres-how-to-stay-safe
0 Comments 0 Shares 20 Views 0 Reviews