นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของ Checkmarx ส่งสัญญาณเตือนเกี่ยวกับ malware รูปแบบใหม่ที่ถูกอัปโหลดไปยัง Python Package Index (PyPI) ซึ่งเป็นแพลตฟอร์มสำหรับนักพัฒนา Python ในการดาวน์โหลดและแชร์โค้ด ซึ่งจะขโมย private key, seed phrase และข้อมูลผู้ใช้ที่สำคัญอื่น ๆ
ตามที่บริษัทระบุ malware นี้ถูกอัปโหลดโดยอัตโนมัติโดยผู้ใช้ที่น่าสงสัยในแพ็คเกจซอฟต์แวร์ต่าง ๆ มากมายซึ่งมีจุดประสงค์เพื่อเลียนแบบแอปพลิเคชันถอดรหัสสำหรับ wallet ยอดนิยม เช่น MetaMask, Atomic, TronLink, Ronin และ wallet หลักอื่น ๆ ในอุตสาหกรรม
malware ถูกฝังอย่างชาญฉลาดภายในบางส่วนของแพ็คเกจซอฟต์แวร์ การทำเช่นนี้ทำให้ซอฟต์แวร์ที่เป็นอันตรายส่วนใหญ่จะตรวจไม่พบเจอสิ่งผิดปกติเนื่องจากสิ่งที่ฝังมาดูเหมือนจะเป็นโค้ดที่ไม่เป็นอันตราย
อย่างไรก็ตาม จากการตรวจสอบอย่างใกล้ชิด ส่วนประกอบเฉพาะของข้อมูลทำให้แฮกเกอร์สามารถควบคุม wallet และโอนเงินได้เมื่อผู้ใช้ที่ไม่สงสัยเรียกใช้ฟังก์ชันเฉพาะที่ฝังอยู่ในแพ็คเกจของซอฟต์แวร์
นักวิจัยที่ Checkmarx ค้นพบเวกเตอร์ของการโจมตีครั้งแรกในเดือนมีนาคม 2024 ส่งผลให้แพลตฟอร์มระงับโปรเจกต์ใหม่และบัญชีผู้ใช้ใหม่จนกว่าองค์ประกอบที่เป็นอันตรายจะถูกลบออก ซึ่งในที่สุดพวกเขาก็ได้เจอเช่นนั้น
แม้ว่า Checkmarx และ Python Package Index จะต้องระมัดระวังและดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหานี้ แต่ malware ก็กลับมาอีกครั้งเมื่อต้นเดือนตุลาคม และมีรายงานว่ามีการดาวน์โหลดมากกว่า 3,700 ครั้งนับตั้งแต่นั้นมา
ที่มา : Cointelegraph