Πρόσφατα, εντοπίστηκαν έξι κακόβουλα πακέτα στο PyPI (Python Package Index) και ήταν εξοπλισμένα με κακόβουλο λογισμικό που έκλεβε δεδομένα καθώς και ένα RAT (remote access trojan) malware. Αυτά τα προγράμματα χρησιμοποίησαν Cloudflare Tunnel για να παρακάμψουν τα firewall και να αποκτήσουν μη εξουσιοδοτημένη είσοδο.
Αυτά τα κακόβουλα πακέτα έχουν σχεδιαστεί για να κλέβουν εμπιστευτικά δεδομένα χρηστών που φυλάσσονται σε προγράμματα περιήγησης, να εκκινούν shell commands και να χρησιμοποιούν keyloggers για την καταγραφή των πληκτρολογούμενων μυστικών.
Δείτε επίσης: Χάκερ: Ο Lukashenko δεν έκανε τεστ PCR COVID-19 πριν συναντηθεί με τον Putin
Ερευνώντας το PyPI για πιθανές αναδυόμενες εκστρατείες, η ερευνητική ομάδα της Phylum ανακάλυψε έξι πακέτα.
Στις 22 Δεκεμβρίου, οι ερευνητές εντόπισαν τις πρώτες κακόβουλες επεκτάσεις σε ένα package repository. Οι κακόβουλοι φορείς συνέχισαν να ανεβάζουν κακόβουλα πακέτα μέχρι την παραμονή Πρωτοχρονιάς από φορείς απειλών.
Η Phylum αποκάλυψε αυτά τα έξι επιβλαβή πακέτα:
- pyrologin – 165 downloads
- easytimestamp – 141 downloads
- discorder – 83 downloads
- discord-dev – 228 downloads
- style.py – 193 downloads
- pythonstyles – 130 downloads
Τα κακόβουλα πακέτα έχουν εξαλειφθεί πλήρως από το PyPI, ωστόσο όσοι τα κατέβασαν πρέπει να αφαιρέσουν χειροκίνητα κάθε ίχνος της μόλυνσης. Συγκεκριμένα, πρέπει να διαγράψουν τους μηχανισμούς persistence που υλοποιήθηκαν στα συστήματά τους.
Λειτουργία κλοπής πληροφοριών
Στο πρόγραμμα εγκατάστασης (setup.py) είναι προσεκτικά κρυμμένη μια κωδικοποιημένη συμβολοσειρά base64, η οποία αποκρυπτογραφείται για να αποκαλύψει ένα ύπουλο PowerShell script.
Για να αποφύγει την ανίχνευση από τους προγραμματιστές, αυτό το script έχει το flag ‘-ErrorAction SilentlyContinue’, ώστε να συνεχίζει διακριτικά ακόμα και όταν αντιμετωπίζει σφάλματα.
Το PowerShell script θα κατεβάσει ένα αρχείο ZIP από ένα απομακρυσμένο resource, θα το αποσυμπιέσει σε ένα τοπικό temp directory και, στη συνέχεια, θα εγκαταστήσει μια λίστα από dependencies και πρόσθετα πακέτα Python που καθιστούν δυνατό τον απομακρυσμένο έλεγχο και τη λήψη screenshot.
Δείτε επίσης: Το Play ransomware υπεύθυνο για την επίθεση στην Rackspace
Κατά τη διάρκεια της διαδικασίας, εγκαθίστανται κρυφά δύο επιπλέον πακέτα με τίτλο ‘flask’ και ‘flask_cloudflared’.
Το αρχείο “server.pyw” που περιλαμβάνεται στο ZIP εκκινεί τέσσερα ξεχωριστά threads, ένα για να εδραιώσει το persistence μεταξύ των επανεκκινήσεων του συστήματος, ένα για να κάνει ping σε ένα proxied onion site, ένα για να ξεκινήσει ένα καταγραφικό πληκτρολόγησης και ένα για την κλοπή δεδομένων από το παραβιασμένο μηχάνημα.
Οι χάκερ κατάφεραν να αποκτήσουν μια ποικιλία ευαίσθητων δεδομένων, όπως cryptocurrency wallets, cookies και κωδικούς πρόσβασης του προγράμματος περιήγησης, δεδομένα Telegram και Discord tokens. Για να ολοκληρώσουν τη διαδικασία κλοπής πληροφοριών, δημιούργησαν ένα περίπλοκο δίκτυο όπου όλο αυτό το κλεμμένο υλικό συμπυκνώνεται σε αρχεία zipped που αποστέλλονται μέσω transfer[.]sh.
Και remote access trojan
Το script ξεκινά τώρα τη χρήση του cftunnel.py, το οποίο είναι διαθέσιμο στο αρχείο ZIP, για να εγκαταστήσει έναν client Cloudflare Tunnel στο σύστημα-στόχο.
Το Cloudflare Tunnel προσφέρει έναν αποτελεσματικό τρόπο για τους πελάτες να δημιουργήσουν ένα αμφίδρομο τούνελ από τους servers τους απευθείας στο σύστημα Cloudflare, ακόμη και χωρίς να ξοδέψουν ούτε δεκάρα!
Το Cloudflare είναι η ιδανική λύση για web servers που πρέπει να γίνουν γρήγορα διαθέσιμοι χωρίς να χρειάζεται να αγχώνεστε για τη διαμόρφωση των firewall, το άνοιγμα θυρών ή την αντιμετώπιση άλλων προβλημάτων routing.
Ακόμα και αν ένα firewall προστατεύει τη συσκευή, οι κακόβουλοι φορείς μπορούν να έχουν απομακρυσμένη πρόσβαση σε αυτήν δημιουργώντας ένα tunnel και εκτελώντας ως το script “Flask” σε ένα μολυσμένο μηχάνημα. Αυτό τους παρέχει απομακρυσμένο έλεγχο της στοχευμένης συσκευής.
Δείτε επίσης: Ψεύτικος Pokemon NFT game installer επιτρέπει το hijack του PC σας
Η κακόβουλη εφαρμογή Flask, γνωστή και ως “xrat”, μπορεί να αποσπάσει τα ονόματα χρήστη και τις διευθύνσεις IP των θυμάτων, να εκτελέσει shell commands στο μηχάνημα-στόχο, να μεταφέρει συγκεκριμένα αρχεία και directories αλλού, να εκτελέσει κώδικα Python μέσα στο εικονικό περιβάλλον της ή ακόμη και να κατεβάσει πρόσθετα payloads.
Αυτό το RAT έχει μια αξιοσημείωτη ικανότητα: επιτρέπει το “live” remote desktop feed σε ένα καρέ ανά δευτερόλεπτο, με την παραμικρή κίνηση ή πληκτρολόγηση του θύματος.
Αυτή η πρόσφατη απελευθέρωση εφαρμογών στο PyPI καταδεικνύει πόσο ενισχυμένοι και προηγμένοι γίνονται οι κίνδυνοι σε αυτό το ψηφιακό περιβάλλον. Οι απειλές που υπάρχουν αυξάνονται συνεχώς, γίνονται όλο και πιο δημιουργικές και ισχυρές.
Ενώ η διαγραφή των πακέτων και η απενεργοποίηση των λογαριασμών που τα ανέβασαν στο PyPI μπορεί να βοηθήσει στην επιβράδυνση των απειλών, δεν τους εμποδίζει απαραίτητα να ανακτήσουν πρόσβαση με νέα ονόματα.
Επιπλέον, ακόμη και αν αυτές οι κακόβουλες εφαρμογές αφαιρεθούν από το PyPi, θα παραμείνουν στις μολυσμένες συσκευές και θα πρέπει να διαγραφούν ξεχωριστά από τους προγραμματιστές.
Εάν υποψιάζεστε ότι ο υπολογιστής σας έχει προσβληθεί από κακόβουλα προγράμματα, είναι επιτακτική ανάγκη να προβείτε άμεσα σε σάρωση με λογισμικό προστασίας από ιούς και, στη συνέχεια, να αντικαταστήσετε τους κωδικούς πρόσβασης των ιστότοπων που επισκέπτεστε τακτικά.
Το PyPI σημαίνει Python Package Index και είναι ένα αποθετήριο λογισμικού γραμμένου σε Python που μπορεί να χρησιμοποιηθεί από άλλους προγραμματιστές. Περιλαμβάνει πάνω από 350,000 πακέτα που είναι ελεύθερα προς λήψη και χρήση. Κάθε πακέτο περιέχει κώδικα που κάνει κάτι συγκεκριμένο- για παράδειγμα, υπάρχουν πακέτα για το χειρισμό αιτημάτων HTTP ή για τη δημιουργία διαγραμμάτων. Η συντριπτική πλειονότητα των πακέτων που είναι διαθέσιμα στο PyPI έχει αναπτυχθεί από την κοινότητα και όχι από εμπορικούς οργανισμούς.
Πηγή πληροφοριών: bleepingcomputer.com
 και ήταν εξοπλισμένα με κακόβουλο λογισμικό που έκλεβε...){kind=link}