6 Pacchetti PyPi Maligni che Installano Malware RAT tramite Tunnel Cloudflare

Un team di ricercatori della società di sicurezza Phylum ha scoperto sei pacchetti maligni sul Python Package Index, che sono stati trovati a installare malware per il furto di informazioni e trojan di accesso remoto mentre utilizzavano Cloudflare per bypassare le restrizioni del firewall per l’accesso remoto.

Secondo i ricercatori di Phylum, queste estensioni maligne sono state trovate per la prima volta nel repository dei pacchetti il 22 dicembre e gli attaccanti hanno continuato a caricare altri pacchetti fino all’ultimo giorno del 2022.

Questi pacchetti maligni cercano di rubare dati sensibili degli utenti, che sono memorizzati nel browser, quindi eseguono comandi shell e keylogger per rubare dati segreti digitati, cioè, password, accessi, portafogli crypto, ecc.

Questa è la lista dei sei pacchetti maligni che i ricercatori di Phylum hanno scoperto.

• discord-dev
• style.py
• discorder
• pythonstyles
• easytimestamp
• pyrologin

Ora, tutti questi sei pacchetti maligni sono stati rimossi dal Python Package Index, e se gli utenti hanno già scaricato questi pacchetti, dovranno disinstallare manualmente i resti delle infezioni.

Setup.py, l’installer ha stringhe codificate a 64 bit che si decodificano in uno script Powershell, e poi il setup imposta l’ErrorAction.SlientlyContinue in modo che lo script possa continuare anche se incontra un errore per evitare di essere identificato dagli sviluppatori.

Dopo di che, lo script Powershell scarica un file ZIP da una risorsa remota, lo decomprime in una directory temporanea locale e poi installa una varietà di dipendenze e pacchetti Python, assicurandosi che l’accesso remoto e la cattura di screenshot siano possibili.

Inoltre, ci sono altri due pacchetti Python che vengono installati silenziosamente nel mezzo delle fasi ‘flask’ e ‘flask cloudflared’.

Bene, uno dei file sul server Zip.pyw poi avvia quattro thread – il primo per stabilire persistenza tra i riavvii del sistema. Il secondo è per inviare un ping al sito onion e avviare un keylogger e infine rubare informazioni dal computer infetto.

Bene, i dati rubati contengono password, accessi, portafogli di criptovalute, cookie del browser, dati di Telegram, token e altro. Tutte queste informazioni vengono poi inviate tramite transfer[.]st agli attaccanti mentre un ping ai siti onion conferma l’esecuzione della mossa di furto di informazioni.

Quando tutto questo è fatto, ora lo script esegue un cftunnel.py che è anche memorizzato nell’archivio Zip che viene utilizzato per installare un client tunnel Cloudflare sul computer della vittima.

Per chi non lo sapesse, il tunnel Cloudflare è un servizio che consente agli utenti di creare un tunnel bidirezionale da un server all’infrastruttura Cloudflare.

Bene, questo consente ai server web di diventare istantaneamente disponibili pubblicamente tramite Cloudflare senza configurare firewall, aprire porte o altri problemi di instradamento. Gli attaccanti utilizzano questo tunnel per accedere da remoto a un trojan remoto che è stato eseguito sulla macchina compromessa come script ‘Flask’, anche se il dispositivo è protetto dal firewall.

Gli attaccanti utilizzano un’app “flask”, nota anche come .rat per rubare il nome utente e l’indirizzo IP, eseguire comandi shell sulla macchina compromessa, esfiltrare determinati file e directory, eseguire codice python e scaricare o avviare ulteriori payload.

Inoltre, il trojan di accesso remoto supporta un feed desktop live che inizia a un tasso di un fotogramma al secondo, che si attiva non appena la vittima digita qualcosa o muove il mouse.

Purtroppo, rimuovere tutti i file dal Python Package Index o vietare l’account che li ha caricati non aiuta molto, poiché gli attori della minaccia possono tornare di nuovo, questa volta con nuovi nomi.

Quindi, nel caso in cui tu sia infettato da questi pacchetti python maligni, si consiglia di eseguire la scansione del computer e anche di cambiare tutte le password dei siti web a cui accedi o visiti regolarmente!

Leggi: Attaccanti che Copiano Siti Software Legittimi per Diffondere Malware tramite la Piattaforma Google Ads