Cybersecurity -onderzoekers hebben kwaadaardige pakketten ontdekt die zijn geüpload naar de Python Package Index (PYPI) -repository die fungeren als checker -tools om gestolen e -mailadressen te valideren tegen Tiktok en Instagram API’s.
Alle drie de pakketten zijn niet langer beschikbaar op PYPI. De namen van de Python -pakketten zijn hieronder –
- Checker-sagaf (2.605 downloads)
- Steinlurks (1.049 downloads)
- Sinnercore (3.300 downloads)
“Trouw aan zijn naam, controleert Checker-Sagaf of een e-mail is gekoppeld aan een Tiktok-account en een Instagram-account,” zei Socket-onderzoeker Olivia Brown in een analyse die vorige week werd gepubliceerd.
In het bijzonder is het pakket ontworpen om HTTP -postverzoeken te verzenden naar Tiktok’s wachtwoordherstel -API en de eindpunten van Instagram’s Account inloggen om te bepalen of een e -mailadres dat als invoer geldig is, wat er is, wat betekent dat er een accounthouder is die overeenkomt met dat e -mailadres.
“Zodra dreigingsactoren deze informatie hebben, alleen vanuit een e -mailadres, kunnen ze dreigen tot dox of spam, neprapportaanvallen uitvoeren om accounts te laten opschorten, of alleen doelaccounts bevestigen voordat ze een referentie -vulling of wachtwoordspuiten -exploit lanceren,” zei Brown.
“Gevalideerde gebruikerslijsten worden ook verkocht op het Dark Web voor winst. Het kan onschadelijk lijken om woordenboeken van actieve e-mails te construeren, maar deze informatie staat en versnelt volledige aanvalsketens en minimaliseert detectie door alleen bekende-valide accounts te richten.”
Het tweede pakket “Steinlurks”, op een vergelijkbare manier, richt zich op Instagram -accounts door vervalste HTTP -postverzoeken te verzenden om de Instagram Android -app na te bootsen om detectie te ontwijken. Het bereikt dit door zich te richten op verschillende API -eindpunten –
- i.instagram (.) Com/API/V1/gebruikers/opzoeking/
- i.instagram (.) Com/API/V1/Bloks/Apps/Com.Bloks.www.caa.ar.Search.async/
- i.instagram (.) Com/API/V1/Accounts/Send_recovery_flow_email/
- www.instagram (.) Com/API/V1/Web/Accounts/Check_email/
“SinnerCore” daarentegen is bedoeld om de wachtwoordstroom vergeten voor een gegeven gebruikersnaam te activeren, gericht op het API -eindpunt “Biinstagram (.) Com/API/V1/Accounts/Send_Password_reset/” met nep HTTP -aanvragen met de gebruikersnaam van de doel.
“Er is ook functionaliteit gericht op telegram, namelijk het extraheren van naam, gebruikers -ID, bio en premium status, evenals andere attributen,” legde Brown uit.
“Sommige delen van Sinnercore zijn gericht op crypto-hulpprogramma’s, zoals het krijgen van realtime binance-prijs of valutaconversies. Het richt zelfs op PYPI-programmeurs door gedetailleerde informatie op te halen over elk PYPI-pakket, waarschijnlijk gebruikt voor nepontwikkelaarsprofielen of doen alsof hij ontwikkelaars is.”
De openbaarmaking komt als ReversingLabs gedetailleerd een ander kwaadaardig pakket met de naam “DBGPKG” dat zich vermomt als een debuggende hulpprogramma, maar implanteert een achterdeur op het systeem van de ontwikkelaar om de uitvoering van codes en gegevensuitvoer te vergemakkelijken. Hoewel het pakket niet meer toegankelijk is, is het naar schatting ongeveer 350 keer gedownload.
Interessant is dat het pakket in kwestie dezelfde lading bevat als het pakket dat is ingebed in “Discordpydebug”, die eerder deze maand door Socket werd gemarkeerd. ReversingLabs zei dat het ook een derde pakket identificeerde genaamd “RequestsDev” waarvan wordt aangenomen dat het deel uitmaakt van dezelfde campagne. Het trok 76 downloads aan voordat het werd verwijderd.
Verdere analyse heeft vastgesteld dat de backdoortechniek van het pakket met behulp van Gsocket lijkt op die van Phoenix Hyena (aka dumpforums of Silent Crow), een hacktivistische groep die bekend staat om het richten van Russische entiteiten, waaronder Doctor Web, in de nasleep van de Russo-Ukrainische oorlog begin 2022.
Hoewel de toeschrijving op zijn best voorlopig is, wees Reversinglabs erop dat de activiteit ook het werk zou kunnen zijn van een copycat -dreigingsacteur. Het gebruik van identieke ladingen en het feit dat “DiscordpyDebug” in maart 2022 eerst werd geüpload, versterkt de zaak voor een mogelijke verbinding met Phoenix Hyena.
“De kwaadaardige technieken die in deze campagne worden gebruikt, waaronder een specifiek type backdoor -implantaat en het gebruik van python -functieverplanning, laten zien dat de dreigingsacteur erachter geavanceerd en zeer voorzichtig is om detectie te voorkomen,” zei beveiligingsonderzoeker Karlo Zanki.
“Het gebruik van functies en tools zoals de Global Socket Toolkit laten zien dat de dreigingsacteurs erachter ook wilden op lange termijn aanwezigheid op gecompromitteerde systemen vaststellen zonder opgemerkt te worden.”
De bevindingen vallen ook samen met de ontdekking van een kwaadaardig NPM -pakket genaamd “Koishi -Plugin -Pinhaofa” dat een data -exfiltratie -achterdeur installeert in chatbots aangedreven door het Koishi -framework. Het pakket is niet langer beschikbaar om te downloaden van NPM.
“Op de markt gebracht als een spelling -autocorrectiehelper, scant de plug -in elk bericht voor een achtkarakter hexadecimale string,” zei beveiligingsonderzoeker Kirill Boychenko. “Wanneer het er een vindt, stuurt het het volledige bericht door, mogelijk inclusief ingebedde geheimen of referenties, naar een hard gecodeerd QQ-account.”
“Eight character hex often represent short Git commit hashes, truncated JWT or API tokens, CRC‑32 checksums, GUID lead segments, or device serial numbers, each of which can unlock wider systems or map internal assets. By harvesting the whole message the threat actor also scoops up any surrounding secrets, passwords, URLs, credentials, tokens, or IDs.”
