На этот раз злоумышленники загрузили в PyPI шесть вредоносных пакетов с инфостилерами внутри.
В ходе Для просмотра ссылки Войди
При установке вредоносный пакет запускает PowerShell-скрипт, который извлекает ZIP-архив и устанавливает инвазивные зависимости: pynput, pydirectinput и pyscreenshot. После этого происходит запуск и извлечение из архива VSB-скрипта для выполнения дополнительного кода в формате PowerShell.
«Библиотеки позволяют злоумышленникам контролировать и отслеживать действия мыши, клавиатуры, а также фиксировать контент на экране», – говорится в отчете Phylum, опубликованном на прошлой неделе.
Кроме того, вредоносные пакеты умеют красть cookie-файлы, сохраненные пароли и данные криптокошельков из браузеров Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX и Vivaldi.
Кроме того, злоумышленники удивили специалистов новой тактикой: в ходе атаки полезная нагрузка вредоноса пытается загрузить и установить cloudflared, инструмент командной строки для Cloudflare Tunnel, позволяющий обеспечить безопасный способ подключения ресурсов к Cloudflare без публичного маршрутизируемого IP-адреса.
Идея заключается в том, чтобы использовать туннель для удаленного доступа к зараженному устройству с помощью приложения на базе Flask, в котором скрывается троян под названием xrat, с помощью которого злоумышленники получают возможность выполнять shell-команды, загружать и выполнять произвольные файлы на устройстве жертвы, похищать данные и даже запускать произвольный Python-код. Flask-приложение поддерживает функцию “live”, которая использует JavaScript для отслеживания событий клавиатуры и мыши.
- Источник новости
- www.securitylab.ru