Back to Blog

แฮกเกอร์ใช้ PyPI ปล่อยมัลแวร์ ZiChatBot ผ่าน API ของ Zulip เล่นงานทั้ง Windows และ Linux

นักวิจัยพบแพ็กเกจ PyPI 3 ตัวที่แอบส่งมัลแวร์ ZiChatBot ผ่าน API ของ Zulip เล่นงานทั้ง Windows และ Linux ผู้ใช้ควรระมัดระวัง

Sales
1 min read
แฮกเกอร์ใช้ PyPI ปล่อยมัลแวร์ ZiChatBot ผ่าน API ของ Zulip เล่นงานทั้ง Windows และ Linux

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Kaspersky ได้ค้นพบแพ็กเกจที่เป็นอันตรายจำนวนสามรายการบนคลัง PyPI ซึ่งถูกออกแบบมาเพื่อส่งมัลแวร์ตระกูลใหม่ที่ชื่อ ZiChatBot เข้าสู่ระบบปฏิบัติการทั้ง Windows และ Linux อย่างลับๆ

แพ็กเกจเหล่านี้แม้จะดูเหมือนมีฟังก์ชันการทำงานตรงตามที่ระบุไว้ในหน้า PyPI ของตน แต่เป้าหมายที่แท้จริงคือการส่งไฟล์อันตรายเข้าไปในเครื่องของเหยื่อโดยไม่ให้ผู้ใช้ทราบ


กลไกการโจมตีผ่าน Zulip API


มัลแวร์ ZiChatBot ใช้ประโยชน์จาก API ของแพลตฟอร์มสื่อสาร Zulip เพื่อเป็นช่องทางในการรับคำสั่งและส่งข้อมูลออกจากระบบที่ติดเชื้อ วิธีการนี้ช่วยให้ผู้ไม่หวังดีสามารถควบคุมบอตจากระยะไกลได้โดยไม่ต้องพึ่งพาโครงสร้างเซิร์ฟเวอร์ของตนเอง ซึ่งทำให้การตรวจสอบติดตามทำได้ยากขึ้น

การใช้ API ของ Zulip เป็นช่องทางสั่งการนั้นถือเป็นเทคนิคที่น่าสนใจ เพราะการรับส่งข้อมูลจะถูกซ่อนอยู่ในทราฟฟิกปกติของแพลตฟอร์ม ทำให้ระบบรักษาความปลอดภัยทั่วไปอาจมองไม่เห็นพฤติกรรมที่ผิดปกติ


รายละเอียดทางเทคนิคของ ZiChatBot


ZiChatBot ทำงานโดยการดาวน์โหลดและรันเพย์โหลดบนเครื่องของเหยื่อ ซึ่งอาจนำไปสู่การขโมยข้อมูล การติดตั้งซอฟต์แวร์ที่ไม่พึงประสงค์ หรือการควบคุมเครื่องจากระยะไกล โดยมัลแวร์นี้ถูกออกแบบมาให้ทำงานบนทั้งสองระบบปฏิบัติการโดยเฉพาะ

แม้ว่าซอร์สโค้ดจะไม่ได้เปิดเผยรายละเอียดทั้งหมด แต่การที่มัลแวร์สามารถทำงานข้ามแพลตฟอร์มได้บ่งชี้ว่าผู้พัฒนามีความชำนาญในการเขียนโค้ดที่ปรับใช้ได้กับสภาพแวดล้อมที่แตกต่างกัน


ผลกระทบต่อความปลอดภัยของซอฟต์แวร์โอเพนซอร์ส


เหตุการณ์นี้สะท้อนให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นในการใช้ dependencies จากคลังโอเพนซอร์ส เช่น PyPI โดยที่ผู้พัฒนาหรือผู้ใช้ที่ดาวน์โหลดแพ็กเกจโดยไม่ตรวจสอบอาจตกเป็นเหยื่อของการโจมตีได้อย่างง่ายดาย

Kaspersky แนะนำให้ผู้ใช้งานตรวจสอบแพ็กเกจก่อนติดตั้งทุกครั้ง โดยเฉพาะแพ็กเกจที่มีจำนวนดาวน์โหลดน้อยหรือไม่มีประวัติการใช้งานที่ชัดเจน รวมถึงใช้เครื่องมือสแกนมัลแวร์เพื่อป้องกันภัยคุกคาม


แนวทางป้องกันสำหรับผู้ใช้


ผู้ใช้ทั่วไปควรอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี นอกจากนี้ควรหลีกเลี่ยงการติดตั้งแพ็กเกจจากแหล่งที่ไม่น่าเชื่อถือ และใช้ระบบตรวจสอบโค้ดเบื้องต้นก่อนนำไปใช้งาน

สำหรับองค์กรที่มีการใช้งาน Python และ PyPI ในการพัฒนา ควรมีนโยบายการตรวจสอบซอร์สโค้ดและการอนุญาตใช้งานแพ็กเกจอย่างเคร่งครัด รวมถึงใช้โซลูชันการรักษาความปลอดภัยที่สามารถตรวจจับพฤติกรรมต้องสงสัยได้


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด