Вредоносные PyPI-пакеты обходят файрволы по туннелям Cloudflare

Вредоносные PyPI-пакеты обходят файрволы по туннелям Cloudflare

На этот раз злоумышленники загрузили в PyPI шесть вредоносных пакетов с инфостилерами внутри.

image

В ходе анализа очередной вредоносной кампании, направленной на пользователей репозитория Python Package Index (PyPI), специалисты обнаружили шесть вредоносных пакетов, заражающих компьютеры разработчиков инфостилерами. В число удаленных пакетов, обнаруженных специалистами Phylum в период с 22 по 31 декабря 2022 года, входят pyrologin, easytimestamp, discorder, discord-dev, style.py и pythonstyles. По словам исследователей, вредоносный код был скрыт в скрипте установки (setup.py) библиотек, т.е.жертве было достаточно выполнить команду "pip install", для запуска процесса установки вредоносного ПО.

При установке вредоносный пакет запускает PowerShell-скрипт, который извлекает ZIP-архив и устанавливает инвазивные зависимости: pynput, pydirectinput и pyscreenshot. После этого происходит запуск и извлечение из архива VSB-скрипта для выполнения дополнительного кода в формате PowerShell.

«Библиотеки позволяют злоумышленникам контролировать и отслеживать действия мыши, клавиатуры, а также фиксировать контент на экране», – говорится в отчете Phylum, опубликованном на прошлой неделе.

Кроме того, вредоносные пакеты умеют красть cookie-файлы, сохраненные пароли и данные криптокошельков из браузеров Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX и Vivaldi.

Кроме того, злоумышленники удивили специалистов новой тактикой: в ходе атаки полезная нагрузка вредоноса пытается загрузить и установить cloudflared, инструмент командной строки для Cloudflare Tunnel, позволяющий обеспечить безопасный способ подключения ресурсов к Cloudflare без публичного маршрутизируемого IP-адреса.

Идея заключается в том, чтобы использовать туннель для удаленного доступа к зараженному устройству с помощью приложения на базе Flask, в котором скрывается троян под названием xrat, с помощью которого злоумышленники получают возможность выполнять shell-команды, загружать и выполнять произвольные файлы на устройстве жертвы, похищать данные и даже запускать произвольный Python-код. Flask-приложение поддерживает функцию “live”, которая использует JavaScript для отслеживания событий клавиатуры и мыши.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь