Para peneliti keamanan siber memperingatkan adanya kampanye jahat yang menargetkan pengguna repositori Python Package Index (PyPI) melalui paket palsu yang menyamar sebagai utilitas terkait "time" tetapi diam-diam mencuri data sensitif, termasuk token akses cloud.

Firma keamanan supply chain perangkat lunak, ReversingLabs, menemukan dua kelompok paket berbahaya dengan total 20 paket yang telah diunduh lebih dari 14.100 kali. Berikut adalah beberapa di antaranya:

·       snapshot-photo (2.448 unduhan)

·       time-check-server (316 unduhan)

·       time-server-analysis (144 unduhan)

·       acloud-client (5.496 unduhan)

·       awscloud-clients-core (206 unduhan)

·       enumer-iam (1.254 unduhan)

·       tcloud-python-test (793 unduhan)

Dua kelompok paket ini memiliki fungsi yang berbeda. Satu kelompok digunakan untuk mengunggah data ke infrastruktur penyerang, sedangkan kelompok lainnya berisi paket yang meniru fungsi klien cloud seperti Alibaba Cloud, Amazon Web Services (AWS), dan Tencent Cloud. Namun, semua paket ini memiliki tujuan utama yang sama: mengekstrak rahasia cloud dari penggunanya.

Analisis lebih lanjut mengungkap bahwa tiga paket, yaitu acloud-client, enumer-iam, dan tcloud-python-test, telah terdaftar sebagai dependensi dalam proyek GitHub bernama accesskey_tools. Proyek ini cukup populer dengan 519 bintang dan telah di-fork sebanyak 42 kali.

Sebuah komit kode yang menyebutkan tcloud-python-test dibuat pada 8 November 2023, menunjukkan bahwa paket tersebut telah tersedia di PyPI sejak saat itu dan telah diunduh sebanyak 793 kali, berdasarkan statistik dari pepy.tech.

Beruntung, semua paket berbahaya yang teridentifikasi telah dihapus dari PyPI sebelum menyebabkan lebih banyak kerugian.

Laporan ini muncul bersamaan dengan temuan dari Fortinet FortiGuard Labs yang mengungkap ribuan paket berbahaya di PyPI dan npm. Beberapa paket diketahui memiliki skrip instalasi yang mencurigakan, yang dirancang untuk mengeksekusi kode jahat atau berkomunikasi dengan server eksternal selama proses instalasi.

"URL mencurigakan adalah indikator utama adanya paket berbahaya. URL ini sering digunakan untuk mengunduh malware tambahan atau menghubungkan perangkat yang terinfeksi ke server perintah dan kontrol (C2), memungkinkan penyerang mengambil alih sistem korban," ujar Jenna Wang dari Fortinet.

Dari total paket yang dianalisis, sebanyak 974 paket mengandung URL berisiko tinggi yang dapat digunakan untuk pencurian data, pengunduhan malware tambahan, dan tindakan berbahaya lainnya.

Meningkatnya jumlah paket berbahaya di PyPI dan npm menegaskan pentingnya kehati-hatian dalam menginstal dependensi dalam proyek pengembangan perangkat lunak. Pengguna disarankan untuk:

1.     Memverifikasi reputasi dan sumber paket sebelum menginstalnya.

2.     Menggunakan alat keamanan supply chain untuk mendeteksi paket berbahaya.

3.     Memantau aktivitas jaringan untuk mendeteksi komunikasi mencurigakan dengan server eksternal.

Dengan langkah-langkah pencegahan yang tepat, risiko dari ancaman seperti ini dapat diminimalkan dan keamanan data sensitif tetap terjaga.