Cybersecurity-onderzoekers hebben een kwaadaardig pakket ontdekt op de Python Package Index (PYPI) -repository die zich vermomt als een schijnbaar onschadelijk discord-gerelateerd hulpprogramma, maar een externe toegangs Trojan bevat.
Het pakket in kwestie is Discordpydebug, dat op 21 maart 2022 naar PYPI is geüpload. Het is 11.574 keer gedownload en blijft beschikbaar in het open-source register. Interessant is dat het pakket sindsdien geen update heeft ontvangen.
“Op het eerste gezicht leek het een eenvoudig hulpprogramma te zijn dat gericht was op ontwikkelaars die aan Discord -bots werkten met behulp van de Discord.py -bibliotheek,” zei het onderzoeksteam van Socket. “Het pakket verborg echter een volledig functionele externe toegang Trojan (rat).”
Het pakket, eenmaal geïnstalleerd, neemt contact op met een externe server (“backstabprotection.jamesx123.REPL (.) Co”) en bevat functies om willekeurige bestanden te lezen en te schrijven op basis van opdrachten, leesfile of WriteFile, ontvangen van de server. De rat ondersteunt ook de mogelijkheid om shell -opdrachten uit te voeren.
Kortom, DiscordpyDebug kan worden gebruikt om gevoelige gegevens te lezen, zoals configuratiebestanden, tokens en referenties, te knoeien met bestaande bestanden, extra payloads te downloaden en commando’s uit te voeren om gegevens te exfiltreren.
“Hoewel de code geen mechanismen bevat voor persistentie of escalatie van privileges, maakt de eenvoud ervan het bijzonder effectief,” zei Socket. “Het gebruik van uitgaande HTTP -polling in plaats van inkomende verbindingen kan het de meeste firewalls en beveiligingsbewakingshulpmiddelen omzeilen, vooral in minder strak gecontroleerde ontwikkelingsomgevingen.”
De ontwikkeling komt omdat het Software Supply Chain Security Company ook meer dan 45 npm -pakketten ontdekte die zich voordoen als legitieme bibliotheken die beschikbaar zijn op andere ecosystemen als een manier om ontwikkelaars te misleiden om ze te installeren. Sommige van de opmerkelijke worden hieronder vermeld –
- BeautifulSoup4 (een typosquat van de BeautifulSoup4 Python -bibliotheek)
- Apache-httpClient (een typosquat van de Apache httpclient java-bibliotheek)
- OpenTk (een typosquat van de OpenTK .NET -bibliotheek)
- Seaborn (een typosquat van de Seaborn Python -bibliotheek)
Alle geïdentificeerde pakketten zijn gevonden om dezelfde infrastructuur te delen, vergelijkbare verdoezelde ladingen te gebruiken en naar hetzelfde IP -adres te wijzen, ondanks het vermelden van verschillende onderhouders, wat het werk van een enkele dreigingsacteur aangeeft.
“Pakketten geïdentificeerd als onderdeel van deze campagne bevatten verduisterde code die is ontworpen om beveiligingsmaatregelen te omzeilen, kwaadaardige scripts uit te voeren, gevoelige gegevens te exfiltreren en persistentie op getroffen systemen te behouden,” zei Socket.
