专家在PyPI上的Python包中识别出功能齐全的信息窃取程序和木马

据国外安全资讯媒体披露，安全专家已发现上传到 Python 包索引(PyPI)的恶意 Python 包包含功能齐全的信息窃取程序和远程访问木马。

这个名为colourfool的软件包是由Kroll的网络威胁情报团队识别出来的，该公司称该恶意软件为Colour-Blind。

colourfool 与最近几个月发现的其他流氓 Python 模块一样，将其恶意代码隐藏在安装脚本中，该脚本指向托管在 Discord 上的ZIP存档负载。

该文件包含一个Python脚本(code.py)，它带有不同的模块，旨在记录按键、窃取cookie，甚至禁用安全软件。

该恶意软件除了执行防御规避检查以确定它是否在沙箱中执行外，还通过Visual Basic脚本建立持久性并使用 transfer[.]sh进行数据泄露。

“作为一种远程控制方法，恶意软件启动了一个Flask网络应用程序，它可以通过Cloudflare的反向隧道实用程序‘cloudflared’访问互联网，绕过任何入站防火墙规则，”研究人员说。

Cloudflare 隧道的使用反映了Phylum 上个月披露的另一项活动，该活动利用六个欺诈包来分发名为poweRAT的窃取器兼 RAT。

该木马功能丰富，能够收集密码、终止进程、截取屏幕截图、记录按键、在浏览器上打开任意网页、执行命令、捕获加密钱包数据，甚至通过网络摄像头窥探受害者。

调查结果出炉之际，威胁行为者正在利用与W4SP窃取程序相关的源代码来生成通过ratebypass、imagesolverpy和3m-promo-gen-api等Python包分发的模仿版本。

此外，Phylum 还发现了另外三个软件包——pycolured、pycolurate 和 colurful——它们已被用于提供基于Go的远程访问木马，称为Spark。

除了针对PyPI的攻击之外，这家软件供应链安全公司还透露了大规模攻击活动的细节，其中未知威胁参与者发布了多达 1,138 个包来部署Rust可执行文件，然后用于删除其他恶意软件二进制文件。

Phylum 研究团队表示：“如果攻击者能够因此获得几个比特币，那么相对微不足道的时间和努力对于攻击者来说是非常值得的。 ”

“与大型企业（如公司或政府）中开发人员的SSH密钥丢失的潜在损害相比，几个比特币的损失就显得微不足道了。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4596.html