Cyberthreat.id – Peneliti keamanan dari Check Point Research (CPR) menemukan malicious package (paket aplikasi berbahaya) baru di repositori Python Package Index (PyPI) yang dapat menyembunyikan kode dalam gambar dengan teknik steganografi dan menginfeksi pengguna melalui proyek sumber terbuka di Github.

Paket berbahaya ini, membawa nama yang mirip dengan paket aslinya, menawarkan semua fungsionalitas aslinya, tetapi juga menyertakan kode berbahaya yang mengumpulkan informasi tentang host yang terinfeksi, seperti nama pengguna pengguna yang menginstal paket, dan nama host komputer pengguna.

Dikutip dari Info Security Magazine, paket berbahaya yang dideteksi bernama “apicolor”.  Sepintas, paket ini tampak seperti salah satu dari banyak paket yang sedang dikembangkan di PyPI.

“Setelah melihat lebih dalam ke skrip instalasi paket, peneliti melihat bagian kode yang aneh dan tidak sepele di awal.,” kata peneliti.

Kode yang dimaksud bertanggung jawab untuk menginstal persyaratan tambahan secara manual, kemudian mengunduh gambar dari web dan menggunakan paket yang baru diinstal untuk memproses gambar dan memicu output yang dihasilkan pemrosesan menggunakan perintah exec

Saat mencari di web untuk proyek yang sah, pengguna akan menemukan proyek sumber terbuka GitHub ini dan menginstalnya secara lokal, tanpa mengetahui bahwa itu membawa impor paket berbahaya. Penting untuk dicatat bahwa kode tersebut tampaknya berfungsi. Dalam beberapa kasus, ada paket berbahaya yang kosong

Menurut Ori Abramovsky, kepala ilmu data di SpectralOps (perusahaan Titik Pemeriksaan), perusahaan terus-menerus memindai PyPI untuk mencari paket berbahaya dan melaporkannya secara bertanggung jawab ke PyPI.

“Yang ini unik dan berbeda dari hampir semua paket jahat yang kami temui sebelumnya. Paket ini berbeda dalam cara mengkamuflasekan tujuannya dan cara menargetkan pengguna PyPI untuk menginfeksi mereka dengan impor berbahaya di GitHub,” kata pakar data kepada Infosecurity.

Abramovsky menambahkan bahwa temuan baru menunjukkan bahwa paket berbahaya PyPI dan teknik kebingungan terkait berkembang pesat.

“Paket yang kami bagikan di sini mencerminkan kerja yang cermat dan teliti. Bukan copy dan paste biasa yang biasa kita lihat, tapi apa yang tampak seperti kampanye nyata. Pembuatan proyek GitHub, kemudian dengan cerdas menyembunyikan kode dan mengecilkan paket di PyPI, semuanya merupakan pekerjaan yang canggih.”

Untuk melindungi dari serangan seperti ini, CPR merekomendasikan perusahaan menggunakan pemindai kode ancaman untuk memeriksa ulang paket pihak ketiga dan memastikan bahwa peringkat pada proyek di GitHub tidak dibuat secara sintetis.

Penulisan teknis ini dilakukan kira-kira dua bulan setelah saran dari SentinelLabs dan Checkmarx mengaitkan aktor ancaman yang disebut 'JuiceLedger' dengan kampanye phishing pertama yang diketahui menargetkan pengguna PyPI.