Un package Python malveillant chargé dans le Python Package Index (PyPI) s’est avéré contenir un voleur d’informations complet et un cheval de Troie d’accès à distance.
Le package, nommé colourfool, a été identifié par l’équipe Cyber Threat Intelligence de Kroll, la société appelant le malware Colour-Blind.
« Le malware ‘Colour-Blind’ indique la démocratisation de la cybercriminalité qui pourrait conduire à une intensification du paysage des menaces, car plusieurs variantes peuvent être générées à partir de code provenant d’autres », ont déclaré les chercheurs de Kroll Dave Truman et George Glass dans un rapport partagé avec breachtrace.
colourfool, comme d’autres modules Python voyous découverts ces derniers mois, dissimule son code malveillant dans le script de configuration, qui pointe vers une charge utile d’archive ZIP hébergée sur Discord.
Le fichier contient un script Python (code.py) fourni avec différents modules conçus pour enregistrer les frappes au clavier, voler les cookies et même désactiver les logiciels de sécurité.
Le logiciel malveillant, en plus d’effectuer des contrôles d’évasion de défense pour déterminer s’il est exécuté dans un bac à sable, établit la persistance au moyen d’un script Visual Basic et utilise transfer[.]sh pour l’exfiltration de données.
« En tant que méthode de contrôle à distance, le logiciel malveillant démarre une application Web Flask, qu’il rend accessible à Internet via l’utilitaire de tunnel inverse de Cloudflare » cloudflared « , en contournant toutes les règles de pare-feu entrantes », ont déclaré les chercheurs.
L’utilisation des tunnels Cloudflare reflète une autre campagne divulguée par Phylum le mois dernier qui utilisait six packages frauduleux pour distribuer un voleur-rat surnommé powerRAT.
« Il existe de fortes similitudes entre les logiciels malveillants en ce sens qu’ils utilisent tous les deux Flask et Cloudflare », a déclaré Truman à breachtrace. « Cependant, alors que le malware recherché par Phylum s’appuie sur PowerShell pour une grande partie de ses fonctionnalités clés, ‘Colour-Blind’ est presque entièrement écrit en Python. »
« Combinez cela avec la fonctionnalité présentée par l’application Web Flask effectuant différentes actions, plutôt que le nouveau malware ajoutant à la fonctionnalité de l’ancien, cela pourrait signifier que la relation se présente davantage sous la forme de différents acteurs de la menace partageant des idées, des ressources ou code, plutôt qu’une évolution d’une base de code développée par un seul acteur », a ajouté Truman.
Le cheval de Troie est riche en fonctionnalités et est capable de collecter des mots de passe, de mettre fin à des applications, de prendre des captures d’écran, d’enregistrer des frappes au clavier, d’ouvrir des pages Web arbitraires sur un navigateur, d’exécuter des commandes, de capturer des données de portefeuille cryptographique et même d’espionner les victimes via la caméra Web.
Les découvertes surviennent alors que les acteurs de la menace exploitent le code source associé au voleur W4SP pour générer des versions copiées qui sont distribuées via des packages Python tels que ratebypass, imagesolverpy et 3m-promo-gen-api.
De plus, Phylum a découvert trois autres packages – appelés pycolured, pycolurate et colurful – qui ont été utilisés pour fournir un cheval de Troie d’accès à distance basé sur Go appelé Spark.
En plus des attaques ciblant PyPI, la société de sécurité de la chaîne d’approvisionnement logicielle a également révélé les détails d’une campagne d’attaque massive au cours de laquelle des acteurs malveillants inconnus ont publié jusqu’à 1 138 packages pour déployer un exécutable Rust, qui est ensuite utilisé pour supprimer des fichiers binaires malveillants supplémentaires.
« La proposition risque / récompense pour les attaquants vaut bien le temps et les efforts relativement minuscules, s’ils peuvent débarquer une baleine avec un gros portefeuille crypto », a déclaré l’équipe de recherche de Phylum.
« Et la perte de quelques bitcoins est dérisoire par rapport aux dommages potentiels de la perte des clés SSH d’un développeur dans une grande entreprise telle qu’une entreprise ou un gouvernement. »