6 Paquetes Maliciosos de PyPi Instalando Malware RAT a Través de Túneles de Cloudflare

Un equipo de investigadores de la firma de seguridad Phylum descubrió seis paquetes maliciosos en el Índice de Paquetes de Python, que se encontraron instalando malware de robo de información y troyanos de acceso remoto mientras usaban Cloudflare para eludir las restricciones del firewall para el acceso remoto.

Según los investigadores de Phylum, estas extensiones maliciosas se encontraron por primera vez en el repositorio de Paquetes el 22 de diciembre y los atacantes continuaron subiendo otros paquetes hasta el último día de 2022.

Estos paquetes maliciosos intentan robar datos sensibles del usuario, que se almacenan en el navegador, luego ejecutan comandos de shell y keyloggers para robar datos secretos escritos, es decir, contraseñas, inicios de sesión, billeteras de criptomonedas, etc.

Esta es la lista de los seis paquetes maliciosos que los investigadores de Phylum descubrieron.

• discord-dev

• style.py

• discorder

• pythonstyles

• easytimestamp

• pyrologin

Ahora, todos estos seis paquetes maliciosos han sido eliminados del Índice de Paquetes de Python, y si los usuarios ya han descargado estos paquetes, entonces los usuarios necesitarán desinstalar los restos de las infecciones manualmente.

Setup.py, el instalador, tiene cadenas codificadas de 64 bits que se decodifican en un script de Powershell, y luego el setup establece el ErrorAction.SlientlyContinue para que el script pueda continuar incluso si encuentra un error para evitar ser identificado por los desarrolladores.

Después de eso, el script de Powershell descarga un archivo ZIP de un recurso remoto, lo descomprime en un directorio temporal local y luego instala una variedad de dependencias y paquetes de Python, asegurándose de que el acceso remoto y la toma de capturas de pantalla sean posibles.

Además, hay dos paquetes de Python más que se instalan silenciosamente en medio de las fases de ‘flask’ y ‘flask cloudflared’.

Bueno, uno de los archivos en el servidor Zip.pyw luego inicia cuatro hilos: el primero para establecer persistencia entre los reinicios del sistema. El segundo es para enviar un ping al sitio web onion y comenzar un registrador de pulsaciones de teclas y finalmente robar información de la computadora infectada.

Bueno, los datos que se roban contienen contraseñas, inicios de sesión, billeteras de criptomonedas, cookies del navegador, datos de Telegram, tokens y más. Toda esta información se envía luego a través de transfer[.]st a los atacantes de amenazas mientras un ping a los sitios web onion confirma la ejecución del movimiento de robo de información.

Cuando todo esto se ha hecho, ahora el script ejecuta un cftunnel.py que también se almacena en el archivo Zip que se utiliza para instalar un cliente de túnel de Cloudflare en la computadora de la víctima.

Para aquellos que no lo saben, el túnel de Cloudflare es un servicio que permite a los usuarios crear un túnel bidireccional desde un servidor a la infraestructura de Cloudflare.

Bueno, esto permite que los servidores web se vuelvan instantáneamente disponibles públicamente a través de Cloudflare sin configurar firewalls, abrir puertos u otros problemas de enrutamiento. Los atacantes utilizan este túnel para acceder de forma remota a un troyano remoto que ha estado funcionando en la máquina comprometida como un script de ‘Flask’, incluso si el dispositivo está protegido por el firewall.

Los atacantes utilizan una aplicación “flask”, que también se conoce como .rat para robar el nombre de usuario y la dirección IP, ejecutar comandos de shell en la máquina comprometida, exfiltrar ciertos directorios de archivos, ejecutar código python y descargar o iniciar más cargas útiles.

Además, el troyano de acceso remoto admite un feed de escritorio en vivo que comienza a una tasa de un fotograma por segundo, que se activa tan pronto como la víctima escribe algo o mueve el mouse.

Desafortunadamente, eliminar todos los archivos del Índice de Paquetes de Python o prohibir la cuenta que los subió no ayuda mucho, ya que los actores de amenazas pueden regresar nuevamente, esta vez con nuevos nombres.

Así que, en caso de que estés infectado con estos paquetes maliciosos de python, se recomienda escanear tu computadora y también cambiar todas las contraseñas de los sitios web a los que inicias sesión o visitas regularmente!

Leer: Atacantes Copiando Sitios de Software Legítimos para Difundir Malware a Través de la Plataforma de Google Ads