แพ็คเกจ PyPI ที่เป็นอันตราย สร้าง CloudFlare Tunnels เพื่อบายพาส firewall
แพ็คเกจ PyPI ที่เป็นอันตรายจำนวน 6 แพ็คเกจ ใน Python Package Index พบว่ามีการติดตั้งตัวขโมยข้อมูล และ RAT (Remote Access Trojan) มัลแวร์ ในขณะที่ใช้ Cloudflare Tunnel ในการบายพาสกฎของ firewall สำหรับ remote access แพ็คเกจที่เป็นอันตรายดังกล่าวจะทำการขโมยข้อมูล ที่ถูกจัดเก็บอยู่ในบราวเซอร์, สั่งรัน shell command, และใช้ keylogger ในการขโมยความลับที่พิมพ์ แพ็คเกจที่เป็นอันตรายทั้ง 6 ตัว ถูกค้นพบโดย Phylum research team ที่ได้ทำการสอดส่อง PyPI ไว้อยู่ตลอด แพ็คเกจที่เป็นอันตรายประกอบด้วย Pyrologin, easytimestamp, discorder, discord-dev, style.py, pythonstyles ซึ่งปัจจุบันแพ็คเกจทั้งหมดถูกลบออกจาก PyPI หมดแล้ว แต่ใครที่ดาวน์โหลดไปใช้ ต้องลบด้วยตัวเองเท่านั้น ตัวลงของ setup.py จะมี base64-encoded string ที่จะถูกถอดรหัสเป็น PowerShell script ซึ่งจะถูก flag เป็น ‘-ErrorAction SilentlyContinue’ เพื่อที่ว่า script ดังกล่าวนั้นจะทำงานแบบ Silent แม้ว่าจะเจอ error ก็จะไม่มีการแจ้งเตือน เพื่อหลบหลีกจากผู้พัฒนา ตัว PowerShell script จะทำการ remote download ไฟล์ ZIP มาเพื่อลงแพ็คเกจ Python อีกสองสามตัวเพื่อทำ remote control และแคปภาพหน้าจอ
ต่อจากนั้นจะมีการติดตั้งแพ็คเกจเพิ่มเติมสองแพ็คเกจอย่างเงียบๆ คือ ‘flask’ และ ‘flask_cloudflare’ หนึ่งในไฟล์ ZIP ที่โหลดมาจะมีไฟล์นึงชื่อว่า ‘server.pyw’ ในนั้นจะมีการแยกการทำงานออกเป็น 4 แบบ คือ 1. สร้างความ persistence ในระหว่างที่มีการเริ่มต้นระบบใหม่ 2. ทำการ ping ไปยังเว็บไซต์ที่เป็น Onion 3. จะทำการ log keystroke ของเครื่องเหยื่อ 4. ขโมยข้อมูลจากเครื่องเหยื่อ แอพชุดใหม่ที่อัพโหลดใน PyPI พิสูจน์ให้เห็นว่าภัยคุกคามบนแพลตฟอร์มกำลังพัฒนา กลายเป็นสิ่งที่มีศักยภาพมากขึ้น และถึงแม้จะลบแพ็คเกจออก และแบนบัญชีที่อัพโหลดก็ไม่ได้หมายความว่าจะหยุดผู้คุกคามที่สามารถสมัครบัญชีใหม่ได้ นอกจากนี้ แม้ว่าแอพจะถูกลบออกจาก PyPi แล้ว แต่แอพเหล่านั้นยังคงอยู่ในอุปกรณ์ที่ติดไวรัส ซึ่งต้องการให้นักพัฒนาลบออกด้วยตนเอง หากแพ็คเกจที่เป็นอันตรายเหล่านี้มีอยู่บนเครื่อง ขอแนะนำอย่างยิ่งให้ทำการสแกนไวรัส จากนั้นเปลี่ยนรหัสผ่านทั้งหมดในเว็บไซต์ที่เข้าชมบ่อย