In einer weiteren Kampagne, die auf das Python Package Index (PyPI) Repository abzielt, wurden sechs bösartige Pakete entdeckt, die Informationen auf den Systemen von Entwicklern stehlen.
Zu den jetzt entfernten Paketen, die zwischen dem 22. und 31. Dezember 2022 von Phylum entdeckt wurden, gehören pyrologin, easytimestamp, discorder, discord-dev, style.py und pythonstyles.
Der bösartige Code ist, wie es immer häufiger der Fall ist, im Setup-Skript (setup.py) dieser Bibliotheken versteckt, d.h. ein „pip install“-Befehl reicht aus, um den Malware-Einsatzprozess zu aktivieren.
Die Malware ist so konzipiert, dass sie ein PowerShell-Skript startet, das eine ZIP-Archivdatei abruft, invasive Abhängigkeiten wie pynput, pydirectinput und pyscreenshot installiert und ein aus dem Archiv extrahiertes Visual Basic Script ausführt, um weiteren PowerShell-Code auszuführen.
„Diese Bibliotheken ermöglichen es, Maus- und Tastatureingaben zu steuern und zu überwachen und Bildschirminhalte zu erfassen“, so Phylum in einem technischen Bericht, der letzte Woche veröffentlicht wurde.
Die bösartigen Pakete sind auch in der Lage, Cookies, gespeicherte Passwörter und Kryptowährungsdaten aus den Browsern Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX und Vivaldi abzugreifen.
Mit einer neuartigen Technik versucht der Angreifer außerdem, cloudflared herunterzuladen und zu installieren, ein Kommandozeilen-Tool für Cloudflare Tunnel, das eine „sichere Möglichkeit bietet, deine Ressourcen mit Cloudflare zu verbinden, ohne eine öffentlich zugängliche IP-Adresse zu haben“.
Die Idee ist, den Tunnel zu nutzen, um über eine Flask-basierte App, die einen Trojaner namens xrat (von Phylum als poweRAT bezeichnet) enthält, aus der Ferne auf den angegriffenen Rechner zuzugreifen.
Die Malware ermöglicht es dem Angreifer, Shell-Befehle auszuführen, Dateien aus der Ferne herunterzuladen und sie auf dem Rechner auszuführen, Dateien und ganze Verzeichnisse zu exfiltrieren und sogar beliebigen Python-Code auszuführen.
Die Flask-Anwendung unterstützt außerdem eine „Live“-Funktion, die mithilfe von JavaScript Maus- und Tastaturklicks abhört und Screenshots des Systems anfertigt, um sensible Informationen abzugreifen, die das Opfer eingegeben hat.
„Dieses Ding ist wie ein RAT auf Steroiden“, sagte Phylum. „Es hat alle grundlegenden RAT-Fähigkeiten in eine nette Web-GUI eingebaut, mit einer rudimentären Remote-Desktop-Fähigkeit und einem Dieb obendrein!“
Die Ergebnisse sind ein weiterer Beleg dafür, dass Angreifer ihre Taktiken ständig weiterentwickeln, um Open-Source-Paketquellen anzugreifen und Angriffe auf die Lieferkette zu starten.
Ende letzten Monats hat Phylum auch eine Reihe von betrügerischen npm-Modulen aufgedeckt, die Umgebungsvariablen aus den installierten Systemen ausspionierten.