Een frisse set van 60 kwaadaardige pakketten is ontdekt gericht op het ecosysteem van RubyGems door zich voor te stellen als schijnbaar onschadelijke automatiseringstools voor sociale media, bloggen of berichtenservices om referenties te stelen van nietsvermoedende gebruikers.
De activiteit wordt beoordeeld als actief sinds minstens maart 2023, volgens de software Supply Chain Security Company Socket. Cumulatief zijn de edelstenen meer dan 275.000 keer gedownload.
Dat gezegd hebbende, merkt het op dat het cijfer mogelijk niet nauwkeurig het werkelijke aantal gecompromitteerde systemen weergeeft, omdat niet elke downloadresultaten in uitvoering, en het is mogelijk dat verschillende van deze edelstenen naar een enkele machine zijn gedownload.
“Sinds ten minste maart 2023 heeft een bedreigingsacteur die de aliassen gebruikt Zon, Nowon, Kwonsoonje, en Soonje, 60 kwaadaardige edelstenen gepubliceerd die zich voordoen als automatiseringstools voor Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao en Naver,” Security Researcher Kirill Boychenko.
Terwijl de geïdentificeerde edelstenen de beloofde functionaliteit boden, zoals bulkposting of betrokkenheid, koesterden ze ook de geheime functionaliteit om gebruikersnamen en wachtwoorden te exfiltreren naar een externe server onder controle van de dreigingsacteur door een eenvoudige grafische gebruikersinterface weer te geven om de referenties van gebruikers in te voeren.
Sommige edelstenen, zoals Njongto_duo en Jongmogtolon, zijn opmerkelijk om zich te concentreren op financiële discussieplatforms, waarbij de bibliotheken op de markt worden gebracht als tools om investeringsgerelateerde forums met ticker-vermeldingen, aandelenverhalen en synthetische betrokkenheid te versterken en de publieke perceptie te manipuleren.
De servers die worden gebruikt om de vastgelegde informatie te ontvangen, omvatten ProgramZon (.) Com, AppSpace (.) KR en MarketingDuo (.) Co (.) KR. Deze domeinen zijn gevonden om bulkberichten, telefoonnummer te adverteren en geautomatiseerde sociale media -tools.
Slachtoffers van de campagne zijn waarschijnlijk grijs-hat-marketeers die vertrouwen op dergelijke tools om spam, zoekmachineoptimalisatie (SEO) en engagementcampagnes uit te voeren die de betrokkenheid kunstmatig vergroten.
“Elke edelsteen functioneert als een Windows-rargeting-infostealer, voornamelijk (maar niet uitsluitend) gericht op Zuid-Koreaanse gebruikers, zoals blijkt uit Koreaans-taal UI’s en exfiltratie naar .KR-domeinen,” zei Socket. “De campagne evolueerde over meerdere aliassen en infrastructuurgolven, wat een volwassen en aanhoudende operatie suggereert.”
“Door de diefstalfunctionaliteit van de referenties in te bedden in edelstenen die op de markt worden gebracht aan automatiseringsgerichte grijs-hatgebruikers, legt de dreigingsacteur heimelijk gevoelige gegevens vast en gaat op in de activiteit die legitiem lijkt.”
De ontwikkeling komt wanneer GitLab meerdere typosquatpakketten heeft gedetecteerd op de Python -pakketindex (PYPI) die zijn ontworpen om cryptocurrency van Bittensor Wallets te stelen door de legitieme stakfuncties te kapen. De namen van de Python -bibliotheken, die Bittensor en Bittensor -cli nabootsen, zijn hieronder –
- bitensor (versies 9.9.4 en 9.9.5)
- Bittenso-cli
- qbittensor
- Bittenso
“De aanvallers lijken om berekende redenen specifiek gericht te zijn op het instellen van operaties,” zei het onderzoeksteam van GitLab’s kwetsbaarheid. “Door kwaadwillende code te verbergen binnen legitiem ogende stakfunctionaliteit, gebruikten de aanvallers zowel de technische vereisten als de gebruikerspsychologie van routinematige blockchain-bewerkingen.”
De openbaarmaking volgt ook nieuwe beperkingen die door PYPI -onderhouders worden opgelegd om Python -pakketinstallateurs en inspecteurs te beveiligen tegen verwarringaanvallen die voortvloeien uit zip -parser -implementaties.
Anders gezegd, zei PYPI dat het Python -pakketten “wielen” (die niets anders zijn dan zip -archieven) zullen afwijzen die proberen te exploiteren naar zip -verwarringaanvallen en kwaadaardige payloads voor handmatige beoordelingen en geautomatiseerde detectietools smokkelen.
“Dit is gedaan als reactie op de ontdekking dat de populaire installateur UV een ander extractiegedrag heeft voor veel op Python gebaseerde installateurs die de zip-parser-implementatie gebruiken die wordt geleverd door de ZIPFILE Standard Library Module,” zei Seth Michael Larson van de Python Software Foundation (PSF).
PYPI heeft Caleb Brown gecrediteerd van het Google Open Source -beveiligingsteam en Tim Hatch van Netflix voor het melden van het probleem. Het zei ook dat het gebruikers zal waarschuwen wanneer ze wielen publiceren waarvan de zip -inhoud niet overeenkomt met het meegeleverde recordmetadata -bestand.
“Na 6 maanden waarschuwingen, op 1 februari 2026, zal PYPI beginnen met het weigeren van nieuw geüploade wielen waarvan de zip -inhoud niet overeenkomt met het meegeleverde recordmetadata -bestand,” zei Larsen.
