En otra campaña dirigida al repositorio Python Package Index (PyPI), se han encontrado seis paquetes maliciosos que implementan ladrones de información en los sistemas de los desarrolladores.
Los paquetes ahora eliminados, que fueron descubiertos por Phylum entre el 22 y el 31 de diciembre de 2022, incluyen pyrologin, easytimestamp, discorder, discord-dev, style.py y pythonstyles.
El código malicioso, como es cada vez más el caso, está oculto en el script de configuración (setup.py) de estas bibliotecas, lo que significa que ejecutar un comando “pip install” es suficiente para activar el proceso de implementación de malware.
El malware está diseñado para iniciar un script de PowerShell que recupera un archivo ZIP, instalar dependencias invasivas como pynput, pydirectinput y pyscreenshot, y ejecutar un script de Visual Basic extraído del archivo para ejecutar más código de PowerShell.
“Estas bibliotecas permiten controlar y monitorear la entrada del mouse y el teclado y capturar el contenido de la pantalla”, dijo Phylum en un informe técnico publicado la semana pasada.
Los paquetes maliciosos también son capaces de recolectar cookies, contraseñas guardadas y datos de billetera de criptomonedas de los navegadores Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX y Vivaldi.
Pero en lo que es una técnica novedosa adoptada por el actor de amenazas, el ataque intenta descargar e instalar cloudflared, una herramienta de línea de comandos para Cloudflare Tunnel, que ofrece una “forma segura de conectar sus recursos a Cloudflare sin una dirección IP enrutable públicamente”.
La idea, en pocas palabras, es aprovechar el túnel para acceder de forma remota a la máquina comprometida a través de una aplicación basada en Flask, que alberga un troyano denominado xrat (pero con nombre en código poweRAT por Phylum).
El malware permite al actor de amenazas ejecutar comandos de shell, descargar archivos remotos y ejecutarlos en el host, filtrar archivos y directorios completos, e incluso ejecutar código Python arbitrario.
La aplicación Flask también admite una función “en vivo” que utiliza JavaScript para escuchar eventos de clic del mouse y el teclado y capturar capturas de pantalla del sistema para capturar cualquier información confidencial ingresada por la víctima.
“Esto es como una rata con esteroides”, dijo Phylum. “¡Tiene todas las capacidades básicas de RAT integradas en una buena GUI web con una capacidad rudimentaria de escritorio remoto y un ladrón para arrancar!”
Los hallazgos son otra ventana a cómo los atacantes están evolucionando continuamente sus tácticas para apuntar a repositorios de paquetes de código abierto y organizar ataques a la cadena de suministro.
A finales del mes pasado, Phylum también reveló una serie de módulos npm fraudulentos que se encontraron exfiltrando variables de entorno de los sistemas instalados.
