专家在PyPI上的Python包中识别出功能齐全的信息窃取程序和木马

PyPI 上的 Python 包

据国外安全资讯媒体披露,安全专家已发现上传到 Python 包索引(PyPI)的恶意 Python 包包含功能齐全的信息窃取程序和远程访问木马。

这个名为colourfool的软件包是由Kroll的网络威胁情报团队识别出来的,该公司称该恶意软件为Colour-Blind。

colourfool 与最近几个月发现的其他流氓 Python 模块一样,将其恶意代码隐藏在安装脚本中,该脚本指向托管在 Discord 上的ZIP存档负载。

该文件包含一个Python脚本(code.py),它带有不同的模块,旨在记录按键、窃取cookie,甚至禁用安全软件。

该恶意软件除了执行防御规避检查以确定它是否在沙箱中执行外,还通过Visual Basic脚本建立持久性并使用 transfer[.]sh进行数据泄露。

“作为一种远程控制方法,恶意软件启动了一个Flask网络应用程序,它可以通过Cloudflare的反向隧道实用程序‘cloudflared’访问互联网,绕过任何入站防火墙规则,”研究人员说。

Cloudflare 隧道的使用反映了Phylum 上个月披露的另一项活动,该活动利用六个欺诈包来分发名为poweRAT的窃取器兼 RAT。

该木马功能丰富,能够收集密码、终止进程、截取屏幕截图、记录按键、在浏览器上打开任意网页、执行命令、捕获加密钱包数据,甚至通过网络摄像头窥探受害者。

PyPI 上的 Python 包

调查结果出炉之际,威胁行为者正在利用与W4SP窃取程序相关的源代码来生成通过ratebypass、imagesolverpy和3m-promo-gen-api等Python包分发的模仿版本。

此外,Phylum 还发现了另外三个软件包——pycolured、pycolurate 和 colurful——它们已被用于提供基于Go的远程访问木马,称为Spark。

除了针对PyPI的攻击之外,这家软件供应链安全公司还透露了大规模攻击活动的细节,其中未知威胁参与者发布了多达 1,138 个包来部署Rust可执行文件,然后用于删除其他恶意软件二进制文件。

Phylum 研究团队表示:“如果攻击者能够因此获得几个比特币,那么相对微不足道的时间和努力对于攻击者来说是非常值得的。 ”

“与大型企业(如公司或政府)中开发人员的SSH密钥丢失的潜在损害相比,几个比特币的损失就显得微不足道了。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4596.html

标签