แพ็คเกจ PyPI ที่เป็นอันตรายกำหนดเป้าหมายที่ MEXC Trading API เพื่อขโมยข้อมูลประจำตัวและเปลี่ยนเส้นทางคำสั่งซื้อ
แพ็คเกจ PyPI ที่เป็นอันตรายกำหนดเป้าหมายที่ MEXC Trading API เพื่อขโมยข้อมูลประจำตัวและเปลี่ยนเส้นทางคำสั่งซื้อ
แพ็คเกจอันตรายใน PyPI ที่ชื่อว่า **ccxt-mexc-futures** ซึ่งถูกออกแบบมาเพื่อหลอกลวงนักพัฒนาที่ใช้ไลบรารี **ccxt** สำหรับเชื่อมต่อและดำเนินการเทรดในตลาดสกุลเงินดิจิทัล แพ็คเกจนี้อ้างว่าเป็นส่วนขยายเพื่อเพิ่มความสามารถในการเทรดล่วงหน้าบน MEXC แต่แท้จริงแล้ว กลไกของมันถูกปรับแก้เพื่อเข้าควบคุมและเปลี่ยนเส้นทางการสั่งซื้อจากผู้ใช้โดยไม่ได้ตั้งใจให้ออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
นักวิจัยด้านความปลอดภัยเผยว่ามีการดัดแปลง API สำคัญในไลบรารี ccxt โดยเฉพาะอย่างยิ่งฟังก์ชันสำหรับการส่งคำสั่งซื้อและยกเลิกคำสั่ง (เช่น `contract_private_post_order_submit` และ `contract_private_post_order_cancel`) พร้อมกับการเพิ่ม API ใหม่ที่เรียกว่า `spot4_private_post_order_place` การดัดแปลงนี้ช่วยให้แพ็คเกจสามารถรันโค้ดแบบสุ่มได้บนเครื่องผู้ใช้ โดยดึงข้อมูลจากโดเมนปลอม (เช่น “v3.mexc.workers[.]dev”) ที่มีการกำหนดค่าลงให้เปลี่ยนเส้นทางคำสั่งไปยังโดเมนที่ผู้โจมตีควบคุม (เช่น “greentreeone[.]com”) นำไปสู่การขโมยข้อมูลสำคัญ เช่น API key และ secret key เมื่อมีการสร้าง ยกเลิก หรือวางคำสั่งซื้อ
ผู้พัฒนาและผู้ใช้ที่ดาวน์โหลดหรือรวมแพ็คเกจ **ccxt-mexc-futures** ในระบบของตนรีบถอดถอนแพ็คเกจนี้และรีบยกเลิก token หรือคีย์ที่อาจถูกขโมยไป เพราะแพ็คเกจดังกล่าวมีประวัติการดาวน์โหลดมากกว่าหนึ่งพันครั้ง นอกจากนี้ เรื่องนี้ยังสะท้อนให้เห็นถึงแนวโน้มที่ผู้โจมตีปล่อยแพ็คเกจที่มีพฤติกรรมเสี่ยงในหลายระบบซัพพลายเชนเช่น npm, Go, และ Maven รวมถึงการใช้เทคนิค “slopsquatting” ที่อาจเกิดจากโมเดลภาษา (LLMs) ที่จินตนาการชื่อแพ็คเกจขึ้นมาโดยไม่มีอยู่จริง ทำให้ผู้พัฒนาอาจรวม dependencies ที่ไม่ปลอดภัยลงในโค้ดของตนโดยไม่รู้ตัว
เหตุการณ์นี้เป็นสัญญาณเตือนให้หน่วยงานและนักพัฒนาซอฟต์แวร์ต้องเพิ่มมาตรการตรวจสอบความน่าเชื่อถือของไลบรารีและแพ็คเกจที่นำมาใช้งาน ตลอดจนเพิ่มความระมัดระวังในกระบวนการบริหารจัดการซัพพลายเชนซอฟต์แวร์ในยุคที่การโจมตีผ่านวิธีเหล่านี้มีความซับซ้อนและแพร่หลายมากขึ้น
ที่มา: malicious-pypi
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
