Cybersecurity -onderzoekers hebben een kwaadaardig pakket ontdekt in de Python Package Index (PYPI) -repository die kwaadaardig gedrag introduceert door een afhankelijkheid waarmee het door persistentie kan worden vastgesteld en code -uitvoering kan bereiken.
Het pakket, genaamd opmaakrealiseert zijn snode functionaliteit door een afhankelijkheidspakket genaamd kleur- Door middel van een multi-fase malware-operatie zei ZScaler Threatlabz. Terwijl Termncolor 355 keer werd gedownload, trok Colorinal 529 downloads aan. Beide bibliotheken zijn niet langer beschikbaar op PYPI.
“Deze aanval zou gebruik kunnen maken van DLL-side-loading om decodering te vergemakkelijken, persistentie vast te stellen en command-and-control (C2) communicatie te voeren, eindigend in externe code-uitvoering”, aldus onderzoekers Manisha Ramcharan Prajapati en Satyam Singh.
Eenmaal geïnstalleerd en uitgevoerd, is TermnColor ontworpen om Colorinal te importeren, die op zijn beurt een malafide DLL laadt die verantwoordelijk is voor het decoderen en uitvoeren van de payload op de volgende fase.
In het bijzonder implementeert de payload een legitieme binaire “vcpktsvr.exe” en een DLL met de naam “libcef.dll” die wordt gelanceerd met behulp van DLL Side-loading. De DLL van zijn kant is in staat om systeeminformatie te oogsten en te communiceren met de C2-server met behulp van Zulip, een open-source chat-toepassing, om de activiteit te verbergen.
“Persistentie wordt bereikt door een registerinvoer onder de Windows Run -toets te maken om de automatische uitvoering van de malware bij het opstarten van het systeem te garanderen,” zei Zscaler.
De malware is ook in staat om Linux -systemen te infecteren, waarbij de Python -bibliotheken een gedeeld objectbestand met de naam “Terminate.so” laten vallen om dezelfde functionaliteit te ontketenen.
Verdere analyse van de zulipactiviteit van de dreigingsacteur heeft drie actieve gebruikers binnen de gemaakte organisatie onthuld, met in totaal 90.692 berichten die binnen het platform zijn uitgewisseld. Er wordt aangenomen dat de malware -auteur sinds 10 juli 2025 actief is.
“Het Termncolor-pakket en zijn kwaadaardige afhankelijkheid Colorinal benadrukken het belang van het monitoren van open-source ecosystemen voor mogelijke supply chain-aanvallen,” zei het bedrijf.
De openbaarmaking komt als Slowmist onthulde dat dreigingsactoren zich richten op ontwikkelaars onder het mom van een vacature om hen te misleiden om een Github-repository te klonen met een booby-gevangen NPM-pakket dat in staat is om iCloud Keychain, webbrowser en cryptocurrency-portemonnee te verbieden.
De NPM -pakketten zijn ook ontworpen om python -scripts te downloaden en uit te voeren, systeeminformatie vast te leggen, het bestandssysteem te scannen op gevoelige bestanden, stelen referenties, log -toetsaanslagen, maakt screenshots en monitor klembordinhoud.
De lijst met geïdentificeerde pakketten, nu verwijderd uit NPM, is hieronder –
- Redux-ace (163 downloads)
- RTK-Logger (394 downloads)
In de afgelopen maanden zijn kwaadaardige NPM -pakketten gespot gericht op de cybersecurity -gemeenschap om gegevensdiefstal en cryptocurrency -mijnbouw te vergemakkelijken via een afhankelijk pakket, met behulp van legitieme diensten zoals Dropbox om de informatie van geïnfecteerde systemen te exfiltreren.
Deze pakketten, datadog-onderzoekers Christophe Tafani-Dereeper en Matt Muir merkten op, worden gedistribueerd onder doelen onder het mom van kwaadwillende proof-of-concept (POC) code voor beveiligingsfouten, of een kernelpatch die zogenaamd prestatieverbeteringen aanbiedt. De activiteit is toegeschreven aan een dreigingsacteur die het volgt als MUT-1244.
De ontwikkeling volgt ook een rapport van ReversingLabs dat de risico’s heeft aangetoond die verband houden met geautomatiseerde afhankelijkheidsupgrades, met name wanneer een gecompromitteerd project wordt gebruikt door duizenden andere projecten, waardoor risico’s voor de supply chain van de software worden versterken.
Dit wordt geïllustreerd door het recente compromis van het Eslint-Config-Proettier NPM-pakket door middel van een phishing-aanval waarmee niet nader genoemde aanvallers konden zijn om vergiftigde versies rechtstreeks naar het NPM-register te duwen zonder enige broncode en trekt aanvragen op de overeenkomstige Github-repository.
Het Software Supply Chain Security Company constateerde dat meer dan 14.000 pakketten Eslint-Config-Prettier als een directe afhankelijkheid hebben verklaard, in plaats van het als een devpendency te verklaren, waardoor geautomatiseerde acties zoals GitHub-acties automatisch de afhankelijkheidsupdate-waarschuwingen door afhankelijke AFHEFTABOT samenvoegen zonder deze te onderzoeken.
“Aangezien dit een configuratie is voor een ontwikkelingstool die wordt gebruikt voor code -opmaak, kan worden verwacht dat het moet worden uitgeroepen tot een devpendency over pakketten waarin het wordt gebruikt, en als zodanig zou het niet automatisch moeten worden geïnstalleerd wanneer de opdracht NPM Install wordt uitgevoerd zoals bij reguliere afhankelijkheden,” zei beveiligingsonderzoeker Karlo Zanki.
“Geautomatiseerde versiebeheerhulpmiddelen zoals afhankelijkeabot zijn ontworpen om het risico van afhankelijkheden met beveiligingsproblemen in uw codebasis te verwijderen, maar (…) ironisch genoeg kunnen ze uiteindelijk nog grotere beveiligingsproblemen introduceren, zoals kwaadaardig compromis.”
