Un package Python malveillant chargé dans le Python Package Index (PyPI) s’est avéré contenir un voleur d’informations complet et un cheval de Troie d’accès à distance.
Le colis, nommé imbécilea été identifié par l’équipe Cyber Threat Intelligence de Kroll, la société appelant le logiciel malveillant Daltonien.
« Le malware ‘Colour-Blind’ indique la démocratisation de la cybercriminalité qui pourrait conduire à une intensification du paysage des menaces, car plusieurs variantes peuvent être générées à partir de code provenant d’autres », ont déclaré les chercheurs de Kroll Dave Truman et George Glass. a dit dans un rapport partagé avec The Hacker News.
colourfool, comme d’autres modules Python voyous découverts ces derniers mois, dissimule son code malveillant dans le script de configuration, qui pointe vers une charge utile d’archive ZIP hébergée sur Discord.
Le fichier contient un script Python (code.py) fourni avec différents modules conçus pour enregistrer les frappes au clavier, voler les cookies et même désactiver les logiciels de sécurité.
Le logiciel malveillant, en plus d’effectuer des contrôles d’évasion de la défense pour déterminer s’il est exécuté dans un bac à sable, établit la persistance au moyen d’un script Visual Basic et utilise le transfert[.]sh pour l’exfiltration de données.
« En tant que méthode de contrôle à distance, le logiciel malveillant démarre une application Web Flask, qu’il rend accessible à Internet via l’utilitaire de tunnel inverse de Cloudflare » cloudflared « , en contournant toutes les règles de pare-feu entrantes », ont déclaré les chercheurs.
L’utilisation des tunnels Cloudflare reflète une autre campagne divulguée par Phylum le mois dernier qui utilisait six packages frauduleux pour distribuer un voleur-rat surnommé powerRAT.
Le cheval de Troie est riche en fonctionnalités et est capable de collecter des mots de passe, de mettre fin à des applications, de prendre des captures d’écran, d’enregistrer des frappes au clavier, d’ouvrir des pages Web arbitraires sur un navigateur, d’exécuter des commandes, de capturer des données de portefeuille cryptographique et même d’espionner les victimes via la caméra Web.
Les découvertes surviennent alors que les acteurs de la menace exploitent le code source associé au voleur W4SP pour générer des versions copiées qui sont distribué via des packages Python tels que ratebypass, imagesolverpy et 3m-promo-gen-api.
De plus, Phylum découvert trois autres packages – appelés pycolured, pycolurate et colurful – qui ont été utilisés pour fournir un cheval de Troie d’accès à distance basé sur Go appelé Étincelle.
En plus des attaques ciblant PyPI, la société de sécurité de la chaîne d’approvisionnement logicielle a également détails révélés d’une campagne d’attaque massive au cours de laquelle des acteurs malveillants inconnus ont publié jusqu’à 1 138 packages pour déployer un exécutable Rust, qui est ensuite utilisé pour déposer des fichiers binaires malveillants supplémentaires.
« La proposition risque / récompense pour les attaquants vaut bien le temps et les efforts relativement minuscules, s’ils peuvent débarquer une baleine avec un gros portefeuille crypto », l’équipe de recherche Phylum a dit.
« Et la perte de quelques bitcoins est dérisoire par rapport aux dommages potentiels de la perte des clés SSH d’un développeur dans une grande entreprise telle qu’une entreprise ou un gouvernement. »
