6 Packages PyPi Malveillants Installant des Malwares RAT via le Tunnel Cloudflare

Une équipe de chercheurs de la société de sécurité Phylum a découvert six packages malveillants sur l’Index des Packages Python, qui ont été trouvés en train d’installer des malwares de vol d’informations et des chevaux de Troie d’accès à distance tout en utilisant Cloudflare pour contourner les restrictions de pare-feu pour un accès à distance.

Selon les chercheurs de Phylum, ces extensions malveillantes ont été d’abord trouvées dans le dépôt des Packages le 22 décembre et les attaquants ont continué à télécharger d’autres packages jusqu’au dernier jour de 2022.

Ces packages malveillants tentent de voler des données sensibles des utilisateurs, qui sont stockées dans le navigateur, puis exécutent des commandes shell et des keyloggers pour voler des données secrètes tapées, c’est-à-dire des mots de passe, des identifiants, des portefeuilles crypto, etc.

Voici la liste des six packages malveillants découverts par les chercheurs de Phylum.

• discord-dev

• style.py

• discorder

• pythonstyles

• easytimestamp

• pyrologin

Maintenant, tous ces six packages malveillants ont été supprimés de l’Index des Packages Python, et si les utilisateurs ont déjà téléchargé ces packages, ils devront désinstaller manuellement les restes des infections.

Setup.py, l’installateur, contient des chaînes encodées en 64 bits qui se décodent en un script Powershell, puis le setup définit l’ErrorAction.SlientlyContinue afin que le script puisse continuer même s’il rencontre une erreur pour éviter d’être identifié par les développeurs.

Après cela, le script Powershell télécharge un fichier ZIP depuis une ressource distante, le décompresse dans un répertoire temporaire local, puis installe une variété de dépendances et de packages Python, s’assurant que l’accès à distance et la prise de captures d’écran sont possibles.

De plus, il y a deux autres packages Python qui sont installés silencieusement au milieu des phases ‘flask’ et ‘flask cloudflared’.

Eh bien, l’un des fichiers sur le serveur Zip.pyw démarre ensuite quatre threads – le premier pour établir une persistance entre les redémarrages du système. Le second est pour faire passer un ping vers le site onion et démarrer un keylogger et enfin voler des informations de l’ordinateur infecté.

Eh bien, les données volées contiennent des mots de passe, des identifiants, des portefeuilles de cryptomonnaie, des cookies de navigateur, des données Telegram, des tokens, et plus encore. Toutes ces informations sont ensuite envoyées via le transfer[.]st aux attaquants, tandis qu’un ping vers les sites onion confirme l’exécution de l’opération de vol d’informations.

Lorsque tout cela est fait, le script exécute un cftunnel.py qui est également stocké dans l’archive Zip et qui est utilisé pour installer un client de tunnel Cloudflare sur l’ordinateur de la victime.

Pour ceux qui ne le savent pas, le tunnel Cloudflare est un service qui permet aux utilisateurs de créer un tunnel bidirectionnel d’un serveur vers l’infrastructure Cloudflare.

Eh bien, cela permet aux serveurs web de devenir instantanément disponibles publiquement via Cloudflare sans configurer de pare-feu, ouvrir des ports ou d’autres problèmes de routage. Les attaquants utilisent ce tunnel pour accéder à distance à un cheval de Troie distant qui s’exécute sur la machine compromise sous forme de script ‘Flask’, même si l’appareil est protégé par le pare-feu.

Les attaquants utilisent une application “flask”, également connue sous le nom de .rat, pour voler le nom d’utilisateur et l’adresse IP, exécuter des commandes shell sur la machine compromise, exfiltrer certains fichiers et répertoires, exécuter du code Python, et télécharger ou démarrer d’autres charges utiles.

De plus, le cheval de Troie d’accès à distance prend en charge un flux de bureau en direct qui commence à un taux d’une image par seconde, qui s’active dès que la victime tape quelque chose ou déplace sa souris.

Malheureusement, supprimer tous les fichiers de l’Index des Packages Python ou interdire le compte qui les a téléchargés n’aide pas beaucoup, car les acteurs de la menace peuvent revenir à nouveau, cette fois avec de nouveaux noms.

Donc, au cas où vous seriez infecté par ces packages Python malveillants, il est recommandé de scanner votre ordinateur et également de changer tous les mots de passe des sites web sur lesquels vous vous connectez ou que vous visitez régulièrement !

Lire : Les attaquants copient des sites de logiciels légitimes pour propager des malwares via la plateforme Google Ads