Gói độc hại
1. bitcoinlibdbfix và bitcoinlib-dev: Các gói này giả mạo là những bản sửa lỗi cho các vấn đề trong mô-đun hợp lệ bitcoinlib. Chúng cố gắng thay thế lệnh ‘clw cli’ chính thống bằng mã độc để xâm nhập các tệp cơ sở dữ liệu nhạy cảm.
2. disgrasya: Gói này hoàn toàn độc hại và chứa một kịch bản carding tự động hoàn toàn nhằm vào các cửa hàng WooCommerce. Nó đã được tải xuống 37,217 lần và được thiết kế để kiểm tra thông tin thẻ tín dụng bị đánh cắp với các hệ thống thanh toán thực mà không kích hoạt báo động gian lận.
Cơ chế tấn công
– Kịch bản Carding: Gói disgrasya mô phỏng hoạt động mua sắm hợp pháp để tìm kiếm một sản phẩm, thêm nó vào giỏ hàng, điều hướng tới trang thanh toán của WooCommerce, và điền vào mẫu thanh toán với thông tin thanh toán ngẫu nhiên và dữ liệu thẻ tín dụng bị đánh cắp. Kịch bản này sau đó chuyển tiếp các chi tiết liên quan như số thẻ tín dụng, ngày hết hạn và CVV đến một máy chủ bên ngoài do kẻ tấn công kiểm soát.
Thống kê
– Tải xuống:
- bitcoinlibdbfix: 1,101 lượt tải xuống
- bitcoinlib-dev: 735 lượt tải xuống
- disgrasya: 37,217 lượt tải xuống
Ngữ cảnh bổ sung
– Cố gắng lừa người dùng: Tác giả của các thư viện giả mạo đã cố gắng lừa người dùng không nghi ngờ tải xuống bản sửa chữa giả bằng cách tham gia vào một cuộc thảo luận về vấn đề trên GitHub.
– Diễn đàn Carding: Dữ liệu thẻ tín dụng bị đánh cắp thường xuất phát từ các diễn đàn carding, nơi thông tin thẻ tín dụng được quảng cáo để bán cho các đối tượng đe dọa khác.
Khuyến nghị thực tiễn
– Theo dõi và kiểm tra: Cần phải kiểm tra và theo dõi các URL bên ngoài trong các phụ thuộc gói để ngăn chặn việc khai thác.
– Cập nhật định kỳ: Các nhà phát triển nên thường xuyên cập nhật các phụ thuộc của họ và theo dõi hoạt động đáng ngờ.
– Kiểm toán bảo mật: Tiến hành kiểm toán bảo mật trên các phụ thuộc có thể giúp xác định và loại bỏ các gói độc hại trước khi chúng gây ra thiệt hại.
