Python Paket Dizinine (PyPI) yüklenen kötü niyetli bir Python paketinin tam özellikli bir bilgi hırsızı ve uzaktan erişim truva atı içerdiği tespit edildi.
adlı paket renk aptalıKroll’un Siber Tehdit İstihbaratı ekibi tarafından tespit edildi ve şirket kötü amaçlı yazılımı aradı. Renk körü.
Kroll araştırmacıları Dave Truman ve George Glass, “‘Renk Körü’ kötü amaçlı yazılımı, diğerlerinden alınan kodlardan birden çok değişken türetilebildiğinden, yoğun bir tehdit ortamına yol açabilecek siber suçların demokratikleşmesine işaret ediyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
colorfool, son aylarda keşfedilen diğer haydut Python modülleri gibi, kötü niyetli kodunu Discord’da barındırılan bir ZIP arşiv yüküne işaret eden kurulum komut dosyasında gizler.
Dosya, tuş vuruşlarını günlüğe kaydetmek, çerezleri çalmak ve hatta güvenlik yazılımını devre dışı bırakmak için tasarlanmış farklı modüllerle birlikte gelen bir Python betiği (code.py) içerir.
Kötü amaçlı yazılım, bir sanal alanda yürütülüp yürütülmediğini belirlemek için savunma kaçırma kontrolleri gerçekleştirmenin yanı sıra, bir Visual Basic komut dosyası aracılığıyla kalıcılık oluşturur ve aktarımı kullanır[.]veri hırsızlığı için sh.
Araştırmacılar, “Bir uzaktan kontrol yöntemi olarak, kötü amaçlı yazılım, herhangi bir gelen güvenlik duvarı kuralını atlayarak, Cloudflare’nin ters tünel yardımcı programı ‘cloudflared’ aracılığıyla internete erişilebilen bir Flask web uygulaması başlatıyor” dedi.
Cloudflare tünellerinin kullanımı, geçen ay Phylum tarafından ifşa edilen ve powerRAT adlı bir hırsız-cum-RAT dağıtmak için altı sahte paket kullanan başka bir kampanyayı yansıtıyor.
Truva atı zengin özelliklere sahiptir ve şifre toplama, uygulamaları sonlandırma, ekran görüntüsü alma, tuş vuruşlarını kaydetme, bir tarayıcıda rastgele web sayfaları açma, komutları yürütme, kripto cüzdan verilerini yakalama ve hatta web kamerası aracılığıyla kurbanları gözetleme yeteneğine sahiptir.
Bulgular, tehdit aktörlerinin W4SP hırsızı ile ilişkili kaynak kodundan yararlanarak taklitçi sürümler üretmesiyle ortaya çıktı. dağıtılmış ratebypass, imagesolverpy ve 3m-promo-gen-api gibi Python paketleri aracılığıyla.
Dahası, Filum keşfetti pycolured, pycolurate ve colurful olarak adlandırılan Go tabanlı bir uzaktan erişim truva atı sunmak için kullanılan üç paket daha Kıvılcım.
PyPI’yi hedef alan saldırılara ek olarak, yazılım tedarik zinciri güvenlik firması da ortaya çıkan detaylar Bilinmeyen tehdit aktörlerinin, daha sonra ek kötü amaçlı yazılım ikili dosyalarını bırakmak için kullanılan bir Rust yürütülebilir dosyasını dağıtmak için 1.138’e kadar paket yayınladığı devasa bir saldırı kampanyasının.
Phylum araştırma ekibi, “Saldırganlar için risk/ödül teklifi, bir balinayı büyük bir kripto cüzdanıyla indirebilirlerse, görece küçük zaman ve çabaya değer.” söz konusu.
“Ve birkaç bitcoin kaybı, bir şirket veya hükümet gibi büyük bir kuruluşta bir geliştiricinin SSH anahtarlarının kaybının potansiyel zararıyla karşılaştırıldığında sönük kalır.”