Schädliche PyPI-Pakete, die Cloudflare-Tunnel verwenden, um sich durch Firewalls zu schleichen
[ad_1]
In einer weiteren Kampagne, die hinauf dasjenige Pythonschlange Package Klassifizierung (PyPI)-Repository abzielt, wurden sechs bösartige Pakete gefunden, die Informationsdiebe hinauf Entwicklersystemen einsetzen.
Zu den jetzt entfernten Paketen, die von Phylum zwischen dem 22. und 31. Monat des Winterbeginns 2022 entdeckt wurden, in Besitz sein von pyrologin, easytimestamp, discorder, discord-dev, style.py und pythonstyles.
Welcher Schadcode ist, wie immer häufiger, im Setup-Skript (setup.py) dieser Bibliotheken verborgen, sodass die Version eines „pip install“-Befehls ausreicht, um den Schadsoftware-Installationsprozess zu anregen.
Die Schadsoftware wurde entwickelt, um ein PowerShell-Skript zu starten, dasjenige eine ZIP-Archivdatei abruft, invasive Abhängigkeiten wie pynput, pydirectinput und pyscreenshot installiert und ein aus dem Dokumentensammlung extrahiertes Visual Basic-Skript ausführt, um weiteren PowerShell-Quellcode auszuführen.
„Solche Bibliotheken zuteilen es, Mouse- und Tastatureingaben zu steuern und zu beaufsichtigen und Bildschirminhalte zu zusammenfassen“, sagte Phylum in einem technischen Rapport, dieser letzte Woche veröffentlicht wurde.
Die Rogue-Pakete sind unter ferner liefen in dieser Position, Cookies, gespeicherte Passwörter und Kryptowährungs-Wallet-Datenmaterial von den Browsern Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX und Vivaldi zu vereinen.
Freilich in einer neuartigen Technologie, die vom Bedrohungsakteur übernommen wurde, versucht dieser Überfall weiterhin, Cloudflared herunterzuladen und zu installieren, ein Befehlszeilentool zu Händen Cloudflare Tunnel, dasjenige eine „sichere Möglichkeit bietet, Ihre Ressourcen ohne eine publik routbare IP-Denkschrift mit Cloudflare zu verbinden. “
Von kurzer Dauer gesagt besteht die Idee darin, den Tunnel zu Händen den Fernzugriff hinauf die kompromittierte Maschine extra eine Flask-basierte App zu nutzen, die verschmelzen Trojanisches Pferd namens xrat (zwar mit dem Codenamen poweRAT von Phylum) beherbergt.
Die Schadsoftware ermöglicht es dem Angreifer, Shell-Befehle auszuführen, entfernte Dateien herunterzuladen und hinauf dem Host auszuführen, Dateien und ganze Verzeichnisse zu exfiltrieren und sogar beliebigen Pythonschlange-Quellcode auszuführen.
Die Flask-Ergreifung unterstützt unter ferner liefen eine „Live“-Prozedur, die JavaScript verwendet, um Mouse- und Tastaturklickereignisse abzuhören und Screenshots des Systems aufzunehmen, um jeglicher sensiblen Informationen zu zusammenfassen, die vom Todesopfer eingegeben wurden.
“Dieses Sache ist wie eine RAT hinauf Steroiden”, sagte Phylum. „Es hat jeglicher grundlegenden RAT-Fähigkeiten, die in eine nette Web-GUI mit einer rudimentären Remote-Desktop-Fähigkeit und einem Stealer zum Booten integriert sind!“
Die Ergebnisse sind ein weiteres Fenster dazu, wie Angreifer ihre Taktiken kontinuierlich weiterentwickeln, um Open-Source-Päckchen-Repositories anzugreifen und Angriffe hinauf die Wertschöpfungskette zu inszenieren.
Finale letzten Monats enthüllte Phylum unter ferner liefen eine Schlange betrügerischer npm-Module, die Umgebungsvariablen aus den installierten Systemen exfiltrieren.
[ad_2]