Repositori publik open-source adalah bagian penting dari suply chain perangkat lunak yang digunakan banyak organisasi untuk membangun aplikasi. Oleh karena itu, mereka menjadi target yang menarik bagi musuh yang ingin mendistribusikan malware ke audiens massal.
Contoh kasus terbaru adalah paket berbahaya untuk mendistribusikan Cobalt Strike pada sistem Windows, macOS, dan Linux, yang diunggah ke registri Python Package Index (PyPI) yang banyak digunakan untuk pengembang aplikasi Python. Paket “pymafka” memiliki nama yang sangat mirip dengan “PyKafka,” klien Apache Kafka populer untuk Python yang telah diunduh lebih dari 4,2 juta kali sejauh ini.
Lebih dari 300 pengguna tertipu untuk mengunduh paket berbahaya, mengira itu adalah kode yang sah, sebelum peneliti di Sonatype menemukan masalah tersebut dan melaporkannya ke registri PyPI. Sejak itu telah dihapus, tetapi aplikasi yang memasukkan skrip berbahaya tetap menjadi ancaman.
“Jumlah unduhan untuk paket berbahaya termasuk unduhan otomatis yang diprakarsai oleh mirror dan bot selain unduhan yang dimulai oleh pengguna,” kata Ax Sharma, peneliti keamanan di Sonatype.
Menurutnya, unduhan yang melibatkan pengguna yang salah mengetik “pymafka” dan bukan “pykafka” kemungkinan jumlahnya kurang dari 100. “Secara intuitif, tampaknya dampak dari serangan typosquatting terbatas pada satu pengguna yang membuat kesalahan ejaan,” katanya.
“Tetapi segalanya menjadi rumit ketika pengembang salah mengeja nama dependensi di perpustakaan mereka, dan perpustakaan mereka selanjutnya digunakan sebagai dependensi dalam proyek perangkat lunak pihak ketiga lainnya,” katanya. Pengguna aplikasi lain ini kemudian secara otomatis terinfeksi dengan proyek yang salah ketik, tanpa mengambil tindakan atau membuat kesalahan.
Selengkapnya: Dark Reading
