Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Эксперты обнаружили продвинутый троян-инфостилер в одном из пакетов PyPI

06/03/23

hack137-Mar-06-2023-11-26-06-4371-AM

На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Python, загруженный в репозиторий PyPI, содержит полнофункциональный похититель информации и троян удаленного доступа. Это передает Securitylab.

Пакет под названием «colourfool» был идентифицирован компанией Kroll. Специалисты присвоили ему внутреннее название «Colour-Blind» и добавили, что исходный код вредоноса запросто может быть использован для создания новых вариантов зловредного ПО.

Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.

Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.

«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.

Использование туннелей Cloudflare напоминает другую кампанию, раскрытую специалистами Phylum в прошлом месяце. В ней использовались шесть мошеннических пакетов для распространения вредоносного ПО, получившего название PoweRAT.

«Между вредоносными программами есть большое сходство в том, что они оба используют Flask и Cloudflare», — заявил исследователь Kroll. «Однако, в то время как вредоносное ПО, исследованное Phylum, полагается на PowerShell для большей части своей ключевой функциональности, Colour-Blind почти полностью написан на Python».

Троянец многофункционален и способен собирать пароли, закрывать приложения, делать снимки экрана, регистрировать нажатия клавиш, открывать произвольные веб-страницы в браузере, выполнять команды, захватывать данные криптокошелька и даже следить за жертвами через веб-камеру.

В прошлом месяце мы не раз писали о вредоносных пакетах в репозитории PyPI. Например, 5 пакетов, обнаруженных в конце января, содержали инфостилер W4SP Stealer. А ещё около 40 пакетов, загруженных в середине февраля, имели в своём составе прочее вредоносное ПО для кражи информации.

Темы:ПреступлениятрояныинфостилерыPyPI
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...