Ερευνητές κυβερνοασφάλειας εντόπισαν ένα κακόβουλο πακέτο Python που ανέβηκε στο Python Package Index (PyPI) με την ονομασία Lumma (γνωστό και ως LummaC2), σχεδιασμένο για κλοπή πληροφοριών.
Το πακέτο, με την ονομασία crytic-compilers, είναι μια παραλλαγή της νόμιμης βιβλιοθήκης crytic-compile. Το κακόβουλο πακέτο κατέβηκε 441 φορές πριν αφαιρεθεί από τους διαχειριστές του PyPI.
Δείτε επίσης: Πακέτο PyPi χρησιμοποιείται ως backdoor σε συκευές macOS
“Η ψεύτικη βιβλιοθήκη είναι ενδιαφέρουσα, όχι μόνο λόγω της ονομασίας της που προέρχεται από το νόμιμο εργαλείο Python, `crytic-compile`, αλλά και λόγω της ευθυγράμμισης των αριθμών εκδόσεων με την πραγματική βιβλιοθήκη,” δήλωσε ο ερευνητής ασφαλείας της Sonatype, Ax Sharma. “Ενώ η τελευταία έκδοση της πραγματικής βιβλιοθήκης σταματά στο 0.3.7, η ψεύτικη `crytic-compilers` εμφανίζεται έως την έκδοση 0.3.11 — δίνοντας την εντύπωση ότι πρόκειται για μια νεότερη έκδοση”.
Σε μια περαιτέρω προσπάθεια να διατηρηθεί η τεχνική αυτή, ορισμένες εκδόσεις των crytic-compilers (π.χ. 0.3.9) βρέθηκαν να εγκαταστήσουν το πραγματικό πακέτο μέσω μιας τροποποίησης στο σενάριο setup.py.
Η πιο πρόσφατη έκδοση, ωστόσο, απορρίπτει κάθε πρόφαση μιας καλοήθους βιβλιοθήκης. Ανιχνεύει εάν το λειτουργικό σύστημα είναι Windows και, σε αυτή την περίπτωση, εκκινεί ένα εκτελέσιμο αρχείο (“s.exe”), το οποίο έχει σχεδιαστεί για να κατεβάζει επιπλέον ωφέλιμα φορτία, συμπεριλαμβανομένου του Lumma Stealer.
Ένας κλέφτης πληροφοριών που διατίθεται σε άλλους εγκληματίες υπό το μοντέλο κακόβουλου λογισμικού ως υπηρεσία (MaaS), το Lumma έχει διανεμηθεί μέσω ποικίλων μεθόδων, όπως το λογισμικό trojanized, η κακή διαφήμιση, ακόμη και οι ψεύτικες browser ενημερώσεις.
Η ανακάλυψη “αναδεικνύει έμπειρους φορείς απειλών που πλέον στοχεύουν προγραμματιστές Python, εκμεταλλευόμενοι μητρώα ανοιχτού κώδικα όπως το PyPI ως κανάλι διανομής για το ισχυρό τους οπλοστάσιο κλοπής δεδομένων”, δήλωσε ο Sharma.
Ψεύτικες καμπάνιες ενημέρωσης browser στοχεύουν εκατοντάδες ιστότοπους WordPress
Η Sucuri αποκάλυψε ότι περισσότεροι από 300 ιστότοποι WordPress έχουν παραβιαστεί με κακόβουλα παράθυρα ενημέρωσης του Google Chrome. Αυτά ανακατευθύνουν τους επισκέπτες σε ψεύτικα προγράμματα εγκατάστασης MSIX, τα οποία εγκαθιστούν προγράμματα κλοπής πληροφοριών και trojan απομακρυσμένης πρόσβασης.
Οι αλυσίδες επιθέσεων περιλαμβάνουν παράγοντες απειλών που αποκτούν μη εξουσιοδοτημένη πρόσβαση στη διεπαφή διαχείρισης του WordPress και εγκαθιστούν μια νόμιμη προσθήκη που ονομάζεται Hustle – Email Marketing, Lead Generation, Optins, Popups. Με αυτόν τον τρόπο, ανεβάζουν κώδικα υπεύθυνο για την εμφάνιση ψεύτικων αναδυόμενων παραθύρων ενημερώσεων του browser.
Διαβάστε περισσότερα: Transparent Tribe: Αναπτύσσει Python, Golang και Rust malware σε ινδικούς στόχους
«Αυτή η καμπάνια αναδεικνύει μια αυξανόμενη τάση μεταξύ των χάκερ, οι οποίοι εκμεταλλεύονται νόμιμα plugins για κακόβουλους σκοπούς», εξήγησε η ερευνήτρια ασφάλειας Puja Srivastava. «Με αυτό τον τρόπο, αποφεύγουν τον εντοπισμό από τα προγράμματα σάρωσης αρχείων, καθώς τα περισσότερα πρόσθετα αποθηκεύουν τα δεδομένα τους στη βάση δεδομένων του WordPress».
Πηγή: thehackernews
 με την ονομασία Lumma (γνωστό και ως LummaC2), σχεδιασμένο για κλοπή πληροφοριών.){kind=link}