最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

恶意PyPi包创建CloudFlare隧道以绕过防火墙

网络安全 快米云 来源:my.28u.cc 34浏览

在 PyPI(Python 包索引)上发现了六个恶意包,它们在使用 Cloudflare Tunnel 绕过防火墙限制进行远程访问时安装了信息窃取和 RAT(远程访问木马)恶意软件。

恶意包试图窃取存储在浏览器中的敏感用户信息,运行 shell 命令,并使用键盘记录器窃取键入的秘密。

这六个软件包是由 Phylum 研究团队发现的,他们密切监视 PyPI 的新兴活动。

研究人员报告说,这些恶意扩展程序于 12 月 22 日首次出现在包存储库中。威胁行为者继续上传其他包,直到今年的最后一天。

Phylum检测到的六个恶意包如下:

  • pyrologin – 165 次下载
  • easytimestamp – 141 次下载
  • discorder – 83 次下载
  • discord-dev – 228 次下载
  • style.py – 193 次下载
  • pythonstyles – 130 次下载

现在所有的软件包都已从 PyPI 中删除,但下载它们的人将不得不手动卸载感染的残余,最显着的是持久性机制。

信息窃取功能

这些文件上的安装程序 (setup.py) 包含一个 base64 编码的字符串,可解码为 PowerShell 脚本。

该脚本设置了“-ErrorAction SilentlyContinue   标志,这样即使遇到错误,脚本也会静默继续,以避免被开发人员检测到。

PowerShell 脚本将从远程资源下载 ZIP 文件,将其解压缩到本地临时目录,然后安装依赖项列表和其他 Python 包,使远程控制和屏幕截图成为可能。

在那个阶段静默安装了另外两个软件包,称为“flask”和“flask_cloudflared”。

ZIP 中的文件之一“server.pyw”启动了四个线程,一个用于在系统重启之间建立持久性,一个用于 ping 代理洋葱站点,一个用于启动击键记录器,一个用于从受感染的机器中窃取数据.

被盗数据包括加密货币钱包、浏览器 cookie 和密码、Telegram 数据、Discord 令牌等。该数据被压缩并通过 transfer[.]sh 传输给攻击者,同时对洋葱站点的 ping 确认信息窃取步骤已完成。

第四个线程执行信息窃取操作
第四个线程执行数据窃取 (Phylum)

也是远程访问木马

该脚本现在运行“cftunnel.py”,也包含在 ZIP 存档中,用于  在受害者的机器上安装Cloudflare Tunnel客户端。

Cloudflare Tunnel 是一种服务产品,允许客户(甚至是免费帐户)创建从服务器直接到 Cloudflare 基础设施的双向隧道。

此连接允许 Web 服务器通过 Cloudflare 快速公开可用,而无需配置防火墙、打开端口或处理其他路由问题。

威胁行为者使用此隧道远程访问在受感染设备上运行的远程访问木马作为“Flask”脚本,即使防火墙保护了该设备。

攻击者使用的 Flask 应用程序,也称为“xrat”,可以窃取受害者的用户名和 IP 地址,在被破坏的机器上运行 shell 命令,泄露特定文件和目录,执行 Python 代码,或者下载和启动额外的有效载荷。

该 RAT 还支持以每秒一帧的速率“实时”远程桌面馈送,只要受害者键入内容或移动鼠标,它就会激活。

实时远程访问
实时远程提要 (Phylum)

PyPI 中上传的这组新应用程序证明了平台上的威胁正在演变,变得更具创新性和威力。

不幸的是,删除软件包并禁止将它们上传到 PyPI 的帐户并不能阻止威胁行为者,因为他们可以使用新名称重新开始行动。

此外,即使应用程序已从 PyPi 中删除,它们仍然在受感染的设备上,需要开发人员手动删除它们。

如果这些恶意包感染了您,强烈建议您执行防病毒扫描,然后更改您经常访问的网站的所有密码。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 恶意PyPi包创建CloudFlare隧道以绕过防火墙