Ciberseguridad 360 | Paquetes PyPI maliciosos utilizan túneles Cloudflare para colarse a través de cortafuegos

Screenshot_2022-12-31_at_7.05.56_PM

En otra campa�a dirigida al repositorio Python Package Index (PyPI), se han descubierto seis paquetes maliciosos que despliegan ladrones de informaci�n en los sistemas de los desarrolladores.

Los paquetes ahora eliminados, que fueron descubiertos por Phylum entre el 22 y el 31 de diciembre de 2022.

El c�digo malicioso, como ocurre cada vez con m�s frecuencia, est� oculto en el script de instalaci�n (setup.py) de estas librer�as, lo que significa que basta con ejecutar un comando "pip install" para activar el proceso de despliegue del malware.

El malware est� dise�ado para lanzar un script PowerShell que recupera un archivo ZIP, instala dependencias invasivas como pynput, pydirectinput y pyscreenshot, y ejecuta un script Visual Basic extra�do del archivo para ejecutar m�s c�digo PowerShell.

"Estas bibliotecas permiten controlar y supervisar la entrada del rat�n y el teclado y capturar el contenido de la pantalla", afirma Phylum en un informe t�cnico publicado la semana pasada.

Los paquetes maliciosos tambi�n son capaces de recopilar cookies, contrase�as guardadas y datos de monederos de criptomonedas de los navegadores Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX y Vivaldi.

Pero en lo que es una t�cnica novedosa adoptada por el actor de la amenaza, el ataque intenta adem�s descargar e instalar cloudflared, una herramienta de l�nea de comandos para Cloudflare Tunnel, que ofrece una "forma segura de conectar tus recursos a Cloudflare sin una direcci�n IP enrutable p�blicamente".

La idea, en pocas palabras, es aprovechar el t�nel para acceder remotamente a la m�quina comprometida a trav�s de una aplicaci�n basada en Flask, que alberga un troyano apodado xrat (pero cuyo nombre en c�digo es poweRAT por Phylum).

El malware permite al autor de la amenaza ejecutar comandos shell, descargar archivos remotos y ejecutarlos en el host, filtrar archivos y directorios completos, e incluso ejecutar c�digo python arbitrario.

La aplicaci�n Flask tambi�n admite una funci�n "en vivo" que utiliza JavaScript para escuchar los eventos de clic del rat�n y el teclado y capturar capturas de pantalla del sistema con el fin de obtener cualquier informaci�n sensible introducida por la v�ctima.

"Esta cosa es como una RAT con esteroides", dijo Phylum. "Tiene todas las funciones b�sicas de un RAT integradas en una bonita interfaz gr�fica de usuario web, con una capacidad rudimentaria de escritorio remoto y, adem�s, un ladr�n".

Los hallazgos son una ventana m�s a la forma en que los atacantes est�n evolucionando continuamente sus t�cticas para atacar los repositorios de paquetes de c�digo abierto y los ataques a la cadena de suministro.

A finales del mes pasado, Phylum tambi�n revel� una serie de m�dulos npm fraudulentos que se encontraron filtrando variables de entorno de los sistemas instalados.

Los seis paquetes maliciosos que Phylum detect� son los siguientes:

pyrologin? 165 descargas
easytimestamp? 141 descargas
discorder? 83 descargas
discord-dev? 228 descargas
style.py ? 193 descargas
pythonstyles? 130 descargas

Fuente: thehackernews