Dans une autre campagne ciblant le référentiel Python Package Index (PyPI), six packages malveillants ont été découverts déployant des voleurs d’informations sur les systèmes des développeurs.
Les packages désormais supprimés, qui étaient découvert par Phylum entre le 22 décembre et le 31 décembre 2022, incluent pyrologin, easytimestamp, discorder, discord-dev, style.py et pythonstyles.
Le code malveillant, comme c’est de plus en plus le cas, est dissimulé dans le script d’installation (setup.py) de ces bibliothèques, ce qui signifie qu’il suffit d’exécuter une commande « pip install » pour activer le processus de déploiement du logiciel malveillant.
Le logiciel malveillant est conçu pour lancer un script PowerShell qui récupère un fichier d’archive ZIP, installe des dépendances invasives telles que pynput, pydirectinput et pyscreenshot, et exécute un script Visual Basic extrait de l’archive pour exécuter davantage de code PowerShell.
« Ces bibliothèques permettent de contrôler et de surveiller les entrées de la souris et du clavier et de capturer le contenu de l’écran », a déclaré Phylum dans un rapport technique publié la semaine dernière.
Les packages malveillants sont également capables de collecter des cookies, des mots de passe enregistrés et des données de portefeuille de crypto-monnaie à partir des navigateurs Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX et Vivaldi.
Mais dans ce qui est une nouvelle technique adoptée par l’acteur de la menace, l’attaque tente en outre de télécharger et d’installer nuageuxun outil en ligne de commande pour Tunnel Cloudflarequi offre un « moyen sécurisé de connecter vos ressources à Cloudflare sans adresse IP routable publiquement ».
L’idée, en un mot, est de tirer parti du tunnel pour accéder à distance à la machine compromise via une application basée sur Flask, qui héberge un cheval de Troie surnommé xrat (mais nommé powerRAT par Phylum).
Le logiciel malveillant permet à l’auteur de la menace d’exécuter des commandes shell, de télécharger des fichiers distants et de les exécuter sur l’hôte, d’exfiltrer des fichiers et des répertoires entiers, et même d’exécuter du code python arbitraire.
L’application Flask prend également en charge une fonctionnalité « en direct » qui utilise JavaScript pour écouter les événements de clic de la souris et du clavier et capturer des captures d’écran du système afin de saisir toute information sensible saisie par la victime.
« Cette chose est comme un RAT sous stéroïdes », a déclaré Phylum. « Il possède toutes les fonctionnalités RAT de base intégrées dans une interface graphique Web agréable avec une capacité de bureau à distance rudimentaire et un voleur pour démarrer ! »
Les résultats sont une autre fenêtre sur la façon dont les attaquants font évoluer en permanence leurs tactiques pour cibler les référentiels de packages open source et organiser des attaques de la chaîne d’approvisionnement.
À la fin du mois dernier, Phylum a également divulgué un certain nombre de modules npm frauduleux qui ont été trouvés en train d’exfiltrer des variables d’environnement des systèmes installés.