Ngày 09 tháng 1 năm 2023Ravie Lakshmanan An ninh mạng / Chuỗi cung ứng
Trong một chiến dịch khác nhắm mục tiêu vào kho lưu trữ Chỉ mục gói Python (PyPI), sáu gói độc hại đã được phát hiện triển khai những kẻ đánh cắp thông tin trên hệ thống của nhà phát triển.
Các gói hiện đã bị xóa do Phylum phát hiện từ ngày 22 tháng 12 đến ngày 31 tháng 12 năm 2022, bao gồm pyrologin, easytimestamp, discorder, discord-dev, style.py và pythonstyles.
Mã độc, ngày càng nhiều, được giấu trong tập lệnh thiết lập (setup.py) của các thư viện này, nghĩa là chạy lệnh “pip install” là đủ để kích hoạt quá trình triển khai phần mềm độc hại.
Phần mềm độc hại được thiết kế để khởi chạy tập lệnh PowerShell truy xuất tệp lưu trữ ZIP, cài đặt các phần phụ thuộc xâm lấn như pynput, pydirectinput và pyscreenshot, đồng thời chạy Tập lệnh Visual Basic được trích xuất từ kho lưu trữ để thực thi thêm mã PowerShell.
“Những thư viện này cho phép một người kiểm soát và giám sát đầu vào của chuột và bàn phím cũng như chụp nội dung màn hình,” Phylum cho biết trong một báo cáo kỹ thuật được công bố vào tuần trước.
Các gói lừa đảo cũng có khả năng thu thập cookie, mật khẩu đã lưu và dữ liệu ví tiền điện tử từ các trình duyệt Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX và Vivaldi.
Nhưng trong một kỹ thuật mới được tác nhân đe dọa áp dụng, cuộc tấn công tiếp tục cố gắng tải xuống và cài đặt cloudflared, một công cụ dòng lệnh cho Cloudflare Tunnel, cung cấp “cách an toàn để kết nối tài nguyên của bạn với Cloudflare mà không cần địa chỉ ip có thể định tuyến công khai. “
Tóm lại, ý tưởng là tận dụng đường hầm để truy cập từ xa vào máy bị xâm nhập thông qua một ứng dụng dựa trên Flask, ứng dụng này chứa một trojan có tên là xrat (nhưng được Phylum đặt tên mã là poweRAT).
Phần mềm độc hại cho phép tác nhân đe dọa chạy các lệnh shell, tải xuống các tệp từ xa và thực thi chúng trên máy chủ, trích xuất các tệp và toàn bộ thư mục, thậm chí chạy mã python tùy ý.
Ứng dụng Flask cũng hỗ trợ tính năng “trực tiếp” sử dụng JavaScript để nghe các sự kiện nhấp chuột và bàn phím, đồng thời chụp ảnh màn hình của hệ thống nhằm lấy bất kỳ thông tin nhạy cảm nào do nạn nhân nhập vào.
“Thứ này giống như RAT trên steroid,” Phylum nói. “Nó có tất cả các khả năng RAT cơ bản được tích hợp trong một giao diện đồ họa web đẹp mắt với khả năng máy tính từ xa thô sơ và một trình đánh cắp để khởi động!”
Những phát hiện này là một cửa sổ khác về cách những kẻ tấn công liên tục phát triển các chiến thuật của chúng để nhắm mục tiêu vào các kho lưu trữ gói nguồn mở và các cuộc tấn công chuỗi cung ứng theo giai đoạn.
Cuối tháng trước, Phylum cũng đã tiết lộ một số mô-đun npm gian lận được phát hiện đang lấy cắp các biến môi trường từ các hệ thống đã cài đặt.
