Pachetele malițioase PyPI crează tuneluri CloudFlare pentru a ocoli firewall-urile
https://www.bleepingcomputer.com
Șase pachete malițioase PyPI, Indexul de pachete Python, au fost descoperite instalând programe malware pentru furtul de informații și RAT (malware de tip remote access trojan) în timp ce foloseau Cloudflare Tunnel pentru a ocoli restricțiile firewall-ului pentru accesul de la distanță.
Scopul pachetelor este a de fura informațiile sensibile ale utilizatorilor ce sunt stocate în browsere, de a rula comenzi shell și de a utiliza keyloggeri.
Cele șase pachete malițioase sunt:
- pyrologin – 165 descărcări
- easytimestamp – 141 descărcări
- discorder – 83 descărcări
- discord-dev – 228 descărcări
- style.py – 193 descărcări
- pythonstyles – 130 descărcări
Programul de instalare (setup.py) de pe aceste fișiere conține un șir codificat în base64 care se decodifică într-un script PowerShell. Acesta setează flag-ul „-ErrorAction SilentlyContinue” astfel încât scriptul să ruleze în spate, chiar dacă întâmpină erori, pentru a evita detectarea de către dezvoltatori.
Scriptul PowerShell va descărca un fișier ZIP de la o resursă de la distanță, îl va dezarhiva într-un director temporar local și apoi va instala o listă de dependințe și pachete Python suplimentare care fac posibile controlul de la distanță și efectuarea capturilor de ecran.
Datele furate includ portofele de criptomonede, cookie-uri și parole de browser, date Telegram, token-uri Discord și multe altele. Aceste date sunt comprimate și transmise prin transfer[.]sh către atacatori, în timp ce un ping către site-ul onion confirmă finalizarea etapei de furt de informații.
Atacatorii folosesc acest tunel pentru a accesa un troian de la distanță care rulează pe dispozitivul infectat sub forma scriptului „Flask”, chiar dacă un firewall protejează dispozitivul respectiv.
Aplicația Flask utilizată de persoanele rău inteționate, cunoscută ca „xrat”, poate fura numele de utilizator și adresa IP a victimei, poate rula comenzi shell pe dispozitivul în cauză, poate exfiltra fișiere și directoare specifice, poate executa cod Python sau poate descărca și lansa payload-uri suplimentare.
Sursă: https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-create-cloudflare-tunnels-to-bypass-firewalls/
