6 bösartige PyPi-Pakete installieren RAT-Malware über Cloudflare-Tunneling

Ein Team von Forschern der Sicherheitsfirma Phylum entdeckte sechs bösartige Pakete im Python Package Index, die beim Installieren von Informationsdiebstahl- und Remote-Access-Trojaner-Malware Cloudflare verwendeten, um Firewall-Beschränkungen für den Remote-Zugriff zu umgehen.

Laut den Forschern von Phylum wurden diese bösartigen Erweiterungen erstmals am 22. Dezember im Paket-Repository gefunden, und die Angreifer luden bis zum letzten Tag des Jahres 2022 weiterhin andere Pakete hoch.

Diese bösartigen Pakete versuchen, sensible Benutzerdaten zu stehlen, die im Browser gespeichert sind, führen dann Shell-Befehle und Keylogger aus, um eingegebene geheime Daten, d.h. Passwörter, Logins, Krypto-Wallets usw. zu stehlen.

Dies ist die Liste der sechs bösartigen Pakete, die die Forscher von Phylum entdeckten.

• discord-dev

• style.py

• discorder

• pythonstyles

• easytimestamp

• pyrologin

Jetzt wurden alle sechs bösartigen Pakete aus dem Python Package Index entfernt, und wenn die Benutzer diese Pakete bereits heruntergeladen haben, müssen sie die Reste der Infektionen manuell deinstallieren.

Setup.py, der Installer, enthält 64-Bit-kodierte Zeichenfolgen, die in ein Powershell-Skript dekodiert werden, und dann setzt das Setup die ErrorAction.SlientlyContinue, damit das Skript auch bei einem Fehler weiterlaufen kann, um nicht von den Entwicklern identifiziert zu werden.

Danach lädt das Powershell-Skript eine ZIP-Datei von einer entfernten Ressource herunter, entpackt sie in ein lokales temporäres Verzeichnis und installiert eine Vielzahl von Abhängigkeiten und Python-Paketen, um sicherzustellen, dass Remote-Zugriff und Screenshots möglich sind.

Darüber hinaus gibt es zwei weitere Python-Pakete, die stillschweigend in der Mitte der Phasen „flask“ und „flask cloudflared“ installiert werden.

Nun, eine der Dateien auf dem Zip-Server.pyw startet dann vier Threads – der erste, um Persistenz zwischen den Systemneustarts herzustellen. Der zweite ist, um einen Ping zur Onion-Website zu proxen und einen Keylogger zu starten und schließlich Informationen vom infizierten Computer zu stehlen.

Nun, die gestohlenen Daten enthalten Passwörter, Logins, Kryptowährungs-Wallets, Browser-Cookies, Telegram-Daten, Tokens und mehr. Alle diese Informationen werden dann über den transfer[.]st an die Bedrohungsangreifer gesendet, während ein Ping zu den Onion-Websites die Ausführung des informationsstehlenden Zugriffs bestätigt.

Wenn dies alles erledigt ist, läuft jetzt das Skript cftunnel.py, das ebenfalls im Zip-Archiv gespeichert ist und verwendet wird, um einen Cloudflare-Tunnel-Client auf dem Computer des Opfers zu installieren.

Für diejenigen, die es nicht wissen, ist Cloudflare Tunnel ein Dienst, der es Benutzern ermöglicht, einen zweiseitigen Tunnel von einem Server zur Cloudflare-Infrastruktur zu erstellen.

Nun, dies ermöglicht es den Webservern, sofort über Cloudflare öffentlich verfügbar zu werden, ohne Firewalls zu konfigurieren, Ports zu öffnen oder andere Routing-Probleme zu haben. Die Angreifer nutzen diesen Tunnel, um auf einen Remote-Trojaner zuzugreifen, der als „Flask“-Skript auf dem kompromittierten Computer läuft, selbst wenn das Gerät durch die Firewall geschützt ist.

Die Angreifer verwenden eine „flask“-App, die auch als .rat bekannt ist, um den Benutzernamen und die IP-Adresse zu stehlen, Shell-Befehle auf dem kompromittierten Computer auszuführen, bestimmte Dateien und Verzeichnisse zu exfiltrieren, Python-Code auszuführen und weitere Payloads herunterzuladen oder zu starten.

Außerdem unterstützt der Remote-Access-Trojaner einen Live-Desktop-Feed, der mit einer Bildrate von einem Frame pro Sekunde startet, der aktiviert wird, sobald das Opfer etwas eingibt oder die Maus bewegt.

Leider hilft es nicht viel, alle Dateien aus dem Python Package Index zu entfernen oder das Konto zu sperren, das diese hochgeladen hat, da die Bedrohungsakteure zurückkehren können, diesmal mit neuen Namen.

Falls Sie also mit diesen bösartigen Python-Paketen infiziert sind, wird empfohlen, Ihren Computer zu scannen und auch alle Passwörter der Websites zu ändern, auf die Sie sich regelmäßig einloggen oder die Sie besuchen!

Lesen: Angreifer kopieren legitime Softwareseiten, um Malware über die Google Ads-Plattform zu verbreiten