6 Зловредных пакетов PyPi, устанавливающих RAT-вредоносное ПО через туннелирование Cloudflare

Команда исследователей из компании Phylum обнаружила шесть зловредных пакетов в индексе пакетов Python, которые были найдены устанавливающими вредоносное ПО для кражи информации и удаленного доступа, используя Cloudflare для обхода ограничений брандмауэра для удаленного доступа.

Согласно исследователям из Phylum, эти зловредные расширения впервые были обнаружены в репозитории пакетов 22 декабря, и злоумышленники продолжали загружать другие пакеты до последнего дня 2022 года.

Эти зловредные пакеты пытаются украсть конфиденциальные данные пользователей, которые хранятся в браузере, затем выполняют команды оболочки и кейлоггеры для кражи введенных секретных данных, т.е. паролей, логинов, криптокошельков и т.д.

Вот список шести зловредных пакетов, которые обнаружили исследователи из Phylum.

• discord-dev

• style.py

• discorder

• pythonstyles

• easytimestamp

• pyrologin

Теперь все эти шесть зловредных пакетов были удалены из индекса пакетов Python, и если пользователи уже загрузили эти пакеты, то им нужно будет вручную удалить остатки инфекций.

Setup.py, установщик, содержит закодированные 64-битные строки, которые декодируются в скрипт PowerShell, а затем установка устанавливает ErrorAction.SlientlyContinue, чтобы скрипт мог продолжать выполнение даже в случае ошибки, чтобы избежать идентификации разработчиками.

После этого скрипт PowerShell загружает ZIP-файл из удаленного ресурса, распаковывает его в локальный временный каталог, а затем устанавливает различные зависимости и пакеты Python, обеспечивая возможность удаленного доступа и снятия скриншотов.

Более того, есть еще два пакета Python, которые устанавливаются незаметно в процессе фаз ‘flask’ и ‘flask cloudflared’.

Что ж, один из файлов на сервере Zip server.pyw затем запускает четыре потока – первый для установления постоянного соединения между перезагрузками системы. Второй – для проксирования пинга на сайт onion и запуска кейлоггера, а в конечном итоге кражи информации с зараженного компьютера.

Что ж, украденные данные содержат пароли, логины, криптовалютные кошельки, куки браузера, данные Telegram, токены и многое другое. Вся эта информация затем отправляется через transfer[.]st злоумышленникам, в то время как пинг на сайты onion подтверждает выполнение операции по краже информации.

Когда все это завершено, теперь скрипт запускает cftunnel.py, который также хранится в архиве Zip и используется для установки клиента туннеля Cloudflare на компьютере жертвы.

Для тех, кто не в курсе, туннель Cloudflare – это сервис, который позволяет пользователям создавать двунаправленный туннель от сервера к инфраструктуре Cloudflare.

Что ж, это позволяет веб-серверам мгновенно стать общедоступными через Cloudflare без настройки брандмауэров, открытия портов или других проблем с маршрутизацией. Злоумышленники используют этот туннель для удаленного доступа к удаленному трояну, который работает на скомпрометированной машине в виде скрипта ‘Flask’, даже если устройство защищено брандмауэром.

Злоумышленники используют приложение “flask”, которое также известно как .rat, для кражи имени пользователя и IP-адреса, выполнения команд оболочки на скомпрометированной машине, эксфильтрации определенных файловых каталогов, выполнения кода Python и загрузки или запуска дополнительных вредоносных программ.

Кроме того, троян удаленного доступа поддерживает поток живого рабочего стола, который начинается с частоты один кадр в секунду, который включается, как только жертва что-то печатает или двигает мышью.

К сожалению, удаление всех файлов из индекса пакетов Python или блокировка аккаунта, который их загрузил, не помогает, так как злоумышленники могут вернуться снова, на этот раз с новыми именами.

Поэтому, если вы заразились этими зловредными пакетами Python, рекомендуется просканировать ваш компьютер и также изменить все пароли на сайтах, на которые вы регулярно входите или посещаете!

Читать: Злоумышленники копируют легитимные сайты программного обеспечения для распространения вредоносного ПО через платформу Google Ads