Bài viết từ GBHackers đề cập đến mối đe dọa an ninh mạng gần đây liên quan đến các gói độc hại trên Python Package Index (PyPI). Dưới đây là những điểm chính:
- Gói độc hại: Bài viết đề cập đến một gói độc hại nhắm vào các nhà phát triển, nhưng không chỉ rõ tên gói cụ thể. Tuy nhiên, nó nhắc đến các sự cố tương tự đã được xác định trên PyPI, chẳng hạn như gói “automslc” cho phép tải xuống nhạc trái phép từ Deezer.
- Kỹ thuật khai thác: Những kẻ tấn công khai thác các lỗ hổng trong PHP-CGI trên hệ thống Windows, sử dụng một script khai thác Python có sẵn để kiểm tra lỗ hổng CVE-2024-4577. Điều này cho phép họ thực thi mã PHP tùy ý, tải xuống và chạy các script PowerShell, và tiêm mã Cobalt Strike reverse HTTP shellcode để truy cập từ xa.
- Hoạt động sau khi khai thác: Sau khi có được quyền truy cập, các kẻ tấn công sử dụng các công cụ như JuicyPotato, RottenPotato, và SweetPotato để nâng cao quyền hạn. Họ cũng thực hiện khảo sát mạng, chỉnh sửa các khóa trong registry, tạo các tác vụ theo lịch trình, và sử dụng Mimikatz để trích xuất và lấy cắp mật khẩu và NTLM hashes từ bộ nhớ.
- Lạm dụng công cụ hợp pháp: Các kẻ tấn công lạm dụng các công cụ và framework hợp pháp được lưu trữ trên một registry đám mây của Alibaba, triển khai một bộ công cụ chiến lược cho các hoạt động độc hại.
- Các biện pháp an ninh: Bài viết nhấn mạnh tầm quan trọng của việc vá các lỗ hổng và thực hiện các biện pháp bảo mật vững chắc, chẳng hạn như kiểm tra phụ thuộc định kỳ, sử dụng các công cụ quét tự động, luôn cập nhật thông tin về các thông báo an ninh, và hợp tác với cộng đồng phát triển để chia sẻ thông tin về các mối đe dọa tiềm ẩn.
Tóm lại, mặc dù tên gói cụ thể không được đề cập trong bài viết của GBHackers, nó nhấn mạnh vấn đề rộng lớn hơn về các gói độc hại trên PyPI và các kỹ thuật được kẻ tấn công sử dụng để khai thác lỗ hổng và xâm nhập hệ thống của các nhà phát triển.
