Вредоносные PyPI-пакеты обходили файрволы по туннелям Cloudflare
10/01/23
В ходе анализа очередной вредоносной кампании, направленной на пользователей репозитория Python Package Index (PyPI), специалисты обнаружили шесть вредоносных пакетов, заражающих компьютеры разработчиков инфостилерами. Об этом пишет Securitylab.В число удаленных пакетов, обнаруженных специалистами Phylum в период с 22 по 31 декабря 2022 года, входят pyrologin, easytimestamp, discorder, discord-dev, style.py и pythonstyles. По словам исследователей, вредоносный код был скрыт в скрипте установки (setup.py) библиотек, т.е.жертве было достаточно выполнить команду "pip install", для запуска процесса установки вредоносного ПО.
При установке вредоносный пакет запускает PowerShell-скрипт, который извлекает ZIP-архив и устанавливает инвазивные зависимости: pynput, pydirectinput и pyscreenshot. После этого происходит запуск и извлечение из архива VSB-скрипта для выполнения дополнительного кода в формате PowerShell.
«Библиотеки позволяют злоумышленникам контролировать и отслеживать действия мыши, клавиатуры, а также фиксировать контент на экране», – говорится в отчете Phylum, опубликованном на прошлой неделе.
Кроме того, вредоносные пакеты умеют красть cookie-файлы, сохраненные пароли и данные криптокошельков из браузеров Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX и Vivaldi.
Кроме того, злоумышленники удивили специалистов новой тактикой: в ходе атаки полезная нагрузка вредоноса пытается загрузить и установить cloudflared, инструмент командной строки для Cloudflare Tunnel, позволяющий обеспечить безопасный способ подключения ресурсов к Cloudflare без публичного маршрутизируемого IP-адреса.
Идея заключается в том, чтобы использовать туннель для удаленного доступа к зараженному устройству с помощью приложения на базе Flask, в котором скрывается троян под названием xrat, с помощью которого злоумышленники получают возможность выполнять shell-команды, загружать и выполнять произвольные файлы на устройстве жертвы, похищать данные и даже запускать произвольный Python-код. Flask-приложение поддерживает функцию “live”, которая использует JavaScript для отслеживания событий клавиатуры и мыши.