Se ha descubierto que un paquete malicioso de Python cargado en Python Package Index (PyPI) contiene un ladrón de información con todas las funciones y un troyano de acceso remoto.
El paquete, llamado tonto del colorfue identificado por el equipo de inteligencia de amenazas cibernéticas de Kroll, y la compañía llamó al malware Daltónico.
«El malware ‘Colour-Blind’ apunta a la democratización del delito cibernético que podría conducir a un panorama de amenazas intensificado, ya que se pueden generar múltiples variantes a partir del código procedente de otros», los investigadores de Kroll, Dave Truman y George Glass. dicho en un informe compartido con The Hacker News.
colourfool, al igual que otros módulos falsos de Python descubiertos en los últimos meses, oculta su código malicioso en el script de instalación, que apunta a una carga útil de archivo ZIP alojada en Discord.
El archivo contiene un script de Python (code.py) que viene con diferentes módulos diseñados para registrar pulsaciones de teclas, robar cookies e incluso desactivar el software de seguridad.
El malware, además de realizar comprobaciones de evasión de defensa para determinar si se está ejecutando en un sandbox, establece persistencia mediante un script de Visual Basic y utiliza transferencia[.]sh para la exfiltración de datos.
«Como método de control remoto, el malware inicia una aplicación web Flask, que hace accesible a Internet a través de la utilidad de túnel inverso de Cloudflare ‘cloudflared’, sin pasar por las reglas de firewall entrantes», dijeron los investigadores.
El uso de los túneles de Cloudflare refleja otra campaña revelada por Phylum el mes pasado que utilizó seis paquetes fraudulentos para distribuir un ladrón-cum-RAT denominado powerRAT.
El troyano tiene muchas funciones y es capaz de recopilar contraseñas, finalizar aplicaciones, tomar capturas de pantalla, registrar pulsaciones de teclas, abrir páginas web arbitrarias en un navegador, ejecutar comandos, capturar datos de billetera criptográfica e incluso espiar a las víctimas a través de la cámara web.
Los hallazgos se producen cuando los actores de amenazas aprovechan el código fuente asociado con el ladrón W4SP para generar versiones de imitación que son repartido a través de paquetes de Python como ratebypass, imagesolverpy y 3m-promo-gen-api.
Es más, Phylum descubierto tres paquetes más, llamados pycolured, pycolurate y colurful, que se han utilizado para entregar un troyano de acceso remoto basado en Go denominado Chispa – chispear.
Además de los ataques dirigidos a PyPI, la empresa de seguridad de la cadena de suministro de software también detalles revelados de una campaña de ataque masivo en la que actores de amenazas desconocidos publicaron hasta 1138 paquetes para implementar un ejecutable de Rust, que luego se usa para colocar archivos binarios de malware adicionales.
«La propuesta de riesgo/recompensa para los atacantes vale la pena el tiempo y el esfuerzo relativamente minúsculos, si pueden aterrizar una ballena con una billetera criptográfica gorda», el equipo de investigación de Phylum dicho.
«Y la pérdida de unos pocos bitcoins palidece en comparación con el daño potencial de la pérdida de las claves SSH de un desarrollador en una gran empresa como una corporación o un gobierno».