En otra campaña dirigida al repositorio de Python Package Index (PyPI), se encontraron seis paquetes maliciosos que desplegaban ladrones de información en los sistemas de los desarrolladores.
Los paquetes ahora eliminados, que fueron descubierto por Phylum entre el 22 y el 31 de diciembre de 2022, incluyen pyrologin, easytimestamp, discorder, discord-dev, style.py y pythonstyles.
El código malicioso, como ocurre cada vez más, está oculto en el script de instalación (setup.py) de estas bibliotecas, lo que significa que ejecutar un comando «pip install» es suficiente para activar el proceso de implementación de malware.
El malware está diseñado para iniciar un script de PowerShell que recupera un archivo ZIP, instalar dependencias invasivas como pynput, pydirectinput y pyscreenshot, y ejecutar un script de Visual Basic extraído del archivo para ejecutar más código de PowerShell.
«Estas bibliotecas permiten controlar y monitorear la entrada del mouse y el teclado y capturar los contenidos de la pantalla», dijo Phylum en un informe técnico publicado la semana pasada.
Los paquetes maliciosos también son capaces de recolectar cookies, contraseñas guardadas y datos de billetera de criptomonedas de los navegadores Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX y Vivaldi.
Pero en lo que es una técnica novedosa adoptada por el actor de amenazas, el ataque intenta además descargar e instalar envuelto en nubesuna herramienta de línea de comandos para Túnel de la llamarada de la nubeque ofrece una «forma segura de conectar sus recursos a Cloudflare sin una dirección IP enrutable públicamente».
La idea, en pocas palabras, es aprovechar el túnel para acceder de forma remota a la máquina comprometida a través de una aplicación basada en Flask, que alberga un troyano denominado xrat (pero con el nombre en código poweRAT de Phylum).
El malware permite que el actor de amenazas ejecute comandos de shell, descargue archivos remotos y los ejecute en el host, extraiga archivos y directorios completos, e incluso ejecute código python arbitrario.
La aplicación Flask también admite una función «en vivo» que utiliza JavaScript para escuchar los eventos de clic del mouse y el teclado y capturar capturas de pantalla del sistema para capturar cualquier información confidencial ingresada por la víctima.
«Esta cosa es como una RAT con esteroides», dijo Phylum. «Tiene todas las capacidades RAT básicas integradas en una GUI web agradable con una capacidad de escritorio remoto rudimentaria y un ladrón para arrancar».
Los hallazgos son otra ventana a la forma en que los atacantes evolucionan continuamente sus tácticas para apuntar a los repositorios de paquetes de código abierto y realizar ataques a la cadena de suministro.
A fines del mes pasado, Phylum también revelado una serie de módulos npm fraudulentos que se encontraron extrayendo variables de entorno de los sistemas instalados.