Các gói PyPI độc hại khai thác API Instagram và TikTok nhằm xác thực tài khoản người dùng

Hiện cả ba gói đều không còn khả dụng trên PyPI. Tên của các gói Python như sau: checker-SaGaF (2.605 lượt tải xuống); steinlurks (1.049 lượt tải xuống) và sinscore (3.300 lượt tải xuống).

“Đúng như tên gọi, checker-SaGaF sẽ kiểm tra xem một email có được liên kết với một tài khoản TikTok và một tài khoản Instagram hay không”, nhà nghiên cứu Olivia Brown của Socket cho biết. Cụ thể, gói này được thiết kế để gửi các request HTTP POST đến API khôi phục mật khẩu của TikTok và các điểm cuối đăng nhập tài khoản của Instagram, để xác định xem địa chỉ email được truyền làm đầu vào có hợp lệ hay không, nghĩa là có tồn tại chủ tài khoản tương ứng với địa chỉ email đó.

Brown chia sẻ: “Khi kẻ tấn công có được thông tin này, chỉ từ một địa chỉ email, chúng có thể đe dọa công khai thông tin cá nhân hoặc spam, thực hiện các cuộc tấn công báo cáo giả để đình chỉ tài khoản, hoặc chỉ xác nhận tài khoản mục tiêu trước khi tiến hành khai thác thông tin đăng nhập hoặc password spraying”.

Danh sách người dùng đã xác thực cũng được rao bán trên dark web để kiếm lời. Việc xây dựng từ điển email đang hoạt động có vẻ vô hại, nhưng thông tin này cho phép và đẩy nhanh toàn bộ chuỗi tấn công, đồng thời giảm thiểu khả năng bị phát hiện bằng cách chỉ nhắm mục tiêu vào các tài khoản đã biết là hợp lệ.

Gói thứ hai là steinlurks, hoạt động theo cách tương tự, nhắm mục tiêu vào các tài khoản Instagram, bằng cách gửi các request HTTP POST giả mạo ứng dụng Instagram Android để tránh bị phát hiện. Gói độc hại này nhắm mục tiêu vào các điểm cuối API khác nhau:
i[.]instagram[.]com/api/v1/users/lookup/;i[.]instagram[.]com/api/v1/bloks/apps/com[.]bloks[.]www[.]caa[.]ar[.]search[.]async; i[.]instagram[.]com/api/v1/accounts/send_recovery_flow_email; www[.]instagram[.]com/api/v1/web/accounts/check_email.

Mặt khác, gói sinnercore có mục đích kích hoạt luồng quên mật khẩu cho tên người dùng nhất định, nhắm vào điểm cuối API “biinstagram[.]com/api/v1/accounts/send_password_reset/” bằng các request HTTP giả mạo có chứa tên người dùng của mục tiêu.

“Ngoài ra, còn có chức năng nhắm mục tiêu vào Telegram, cụ thể là trích xuất tên, ID người dùng, tiểu sử và trạng thái tài khoản cũng như các thuộc tính khác”, Brown giải thích.

Một số thành phần trong gói sinscore tập trung vào các tiện ích tiền điện tử, như lấy giá Binance theo thời gian thực hoặc chuyển đổi tiền tệ, nó thậm chí còn nhắm vào các lập trình viên PyPI bằng cách lấy thông tin chi tiết về bất kỳ gói PyPI nào, có khả năng được sử dụng cho hồ sơ nhà phát triển giả mạo hoặc giả danh là nhà phát triển.

Tiết lộ này được đưa ra khi công ty bảo mật ReversingLabs (Mỹ) công bố chi tiết một gói độc hại khác có tên “dbgpkg”, ngụy trang thành tiện ích gỡ lỗi nhưng lại nhúng một backdoor vào hệ thống của nhà phát triển để tạo điều kiện thực thi mã và đánh cắp dữ liệu. Mặc dù gói này không thể truy cập được nữa, nhưng ước tính đã được tải xuống khoảng 350 lần.

Một điều thú vị là gói tin đang được đề cập đã được tìm thấy có chứa cùng một payload như payload được nhúng trong “discordpydebug”, đã được Socket phát hiện là độc hại vào đầu tháng 5. ReversingLabs cho biết họ cũng xác định được một gói thứ ba có tên là requestsdev được cho là một phần của cùng một chiến dịch tấn công mạng, gói này đã thu hút 76 lượt tải xuống trước khi bị gỡ xuống.

Phân tích sâu hơn đã xác định rằng kỹ thuật backdoor của gói tin sử dụng Gsocket, giống với kỹ thuật của Phoenix Hyena (hay còn gọi là DumpForums hoặc Silent Crow), một nhóm hacktivist nổi tiếng với mục tiêu nhắm các thực thể của Nga.