Dans le cadre d’une nouvelle campagne visant le dépôt Python Package Index (PyPI), six paquets malveillants déployant des voleurs d’informations sur les systèmes des développeurs ont été découverts.
Les paquets maintenant retirés, qui ont été découverts par Phylum entre le 22 et le 31 décembre 2022, comprennent pyrologin, easytimestamp, discorder, discord-dev, style.py et pythonstyles.
Le code malveillant, comme c’est de plus en plus souvent le cas, est dissimulé dans le script d’installation (setup.py) de ces bibliothèques, ce qui signifie que l’exécution de la commande « pip install » suffit à activer le processus de déploiement du malware.
Le malware est conçu pour lancer un script PowerShell qui récupère un fichier d’archive ZIP, installe des dépendances invasives telles que pynput, pydirectinput et pyscreenshot, et exécute un script Visual Basic extrait de l’archive pour exécuter davantage de code PowerShell.
« Ces bibliothèques permettent de contrôler et de surveiller les entrées de la souris et du clavier et de capturer le contenu de l’écran », explique Phylum dans un rapport technique publié la semaine dernière.
Les paquets malveillants sont également capables de récolter les cookies, les mots de passe enregistrés et les données des portefeuilles de crypto-monnaies des navigateurs Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX et Vivaldi.
Mais dans ce qui est une nouvelle technique adoptée par l’acteur de la menace, l’attaque tente en outre de télécharger et d’installer Cloudflare, un outil en ligne de commande pour Cloudflare Tunnel, qui offre un « moyen sécurisé de connecter vos ressources à Cloudflare sans adresse IP publique routable. »
L’idée, en un mot, est d’exploiter le tunnel pour accéder à distance à la machine compromise via une application basée sur Flask, qui abrite un cheval de Troie baptisé xrat (mais dont le nom de code est poweRAT par Phylum).
Ce malware permet à l’acteur de la menace d’exécuter des commandes shell, de télécharger des fichiers distants et de les exécuter sur l’hôte, d’exfiltrer des fichiers et des répertoires entiers, et même d’exécuter un code python arbitraire.
L’application Flask prend également en charge une fonction « live » qui utilise JavaScript pour écouter les événements de clics de souris et de clavier et capturer des captures d’écran du système afin de s’emparer de toute information sensible saisie par la victime.
« Cette chose est comme un RAT sur des stéroïdes », a déclaré Phylum. « Il a toutes les capacités de base d’un RAT intégrées dans une interface graphique web agréable, avec une capacité rudimentaire de bureau à distance et un voleur pour démarrer ! »
Les résultats sont une autre fenêtre sur la façon dont les attaquants évoluent continuellement leurs tactiques pour cibler les dépôts de paquets open-source et organiser des attaques de la chaîne d’approvisionnement.
À la fin du mois dernier, Phylum a également divulgué un certain nombre de modules npm frauduleux qui ont été découverts en train d’exfiltrer des variables d’environnement des systèmes installés.