Ένα κακόβουλο πακέτο Python που στοχεύει τους προγραμματιστές Discord με απομακρυσμένο Trojan (RAT) κακόβουλο λογισμικό εντοπίστηκε στο Python Package Index (PYPI) μετά από περισσότερα από τρία χρόνια.
Ονομάστηκε “Discordpydebug”, το πακέτο μεταμφιέζεται ως βοηθητικό πρόγραμμα καταγραφής σφαλμάτων για προγραμματιστές που εργάζονταν σε bots Discord και λήφθηκαν πάνω από 11.000 φορές από τότε που φορτώθηκε στις 21 Μαρτίου 2022, παρόλο που δεν έχει καμία περιγραφή ή τεκμηρίωση.
Η εταιρεία Cybersecurity Company, η οποία την εντοπίστηκε για πρώτη φορά, λέει ότι το κακόβουλο λογισμικό θα μπορούσε να χρησιμοποιηθεί για τα συστήματα προγραμματιστών Backdoor Discord και παρέχει στους επιτιθέμενους κλοπές δεδομένων και απομακρυσμένες δυνατότητες εκτέλεσης κώδικα.
“Το πακέτο στοχεύει τους προγραμματιστές που χτίζουν ή διατηρούν bots Discord, συνήθως προγραμματιστές indie, μηχανικούς αυτοματισμού ή μικρές ομάδες που θα μπορούσαν να εγκαταστήσουν τέτοια εργαλεία χωρίς εκτεταμένο έλεγχο”, ερευνητές υποδοχής είπε.
“Δεδομένου ότι το PYPI δεν επιβάλλει βαθιούς ελέγχους ασφαλείας των μεταφορτωμένων πακέτων, οι επιτιθέμενοι συχνά εκμεταλλεύονται αυτό χρησιμοποιώντας παραπλανητικές περιγραφές, νόμιμα ονόματα ή ακόμα και αντιγραφή κώδικα από δημοφιλή έργα για να φαίνονται αξιόπιστα”.
Μόλις εγκατασταθεί, το κακόβουλο πακέτο μετατρέπει τη συσκευή σε ένα τηλεχειρισμένο σύστημα που θα εκτελέσει οδηγίες που αποστέλλονται από διακομιστή εντολών και ελέγχου (C2).
Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν το κακόβουλο λογισμικό για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε διαπιστευτήρια και πολλά άλλα (π.χ. μάρκες, κλειδιά και αρχεία ρυθμίσεων), να κλέψουν τα δεδομένα και να παρακολουθούν τη δραστηριότητα του συστήματος χωρίς να εντοπιστούν, να εκτελέσουν εξ αποστάσεως κώδικα για την ανάπτυξη περαιτέρω ωφέλιμων φορτίων και να αποκτήσουν πληροφορίες που μπορούν να βοηθήσουν να μετακινηθούν πλευρικά μέσα στο δίκτυο.
Ενώ το κακόβουλο λογισμικό δεν διαθέτει μηχανισμούς κλιμάκωσης ή προνομίων, χρησιμοποιεί εξερχόμενη ψηφοφορία HTTP αντί για εισερχόμενες συνδέσεις, καθιστώντας δυνατή την παράκαμψη των τείχους προστασίας και του λογισμικού ασφαλείας, ειδικά σε χαλαρά ελεγχόμενα περιβάλλοντα ανάπτυξης.
Μόλις εγκατασταθεί, το πακέτο συνδέεται σιωπηλά σε έναν διακομιστή εντολών και ελέγχου (C2) (backstabprotection.jamesx123.repl[.]CO), στέλνοντας ένα αίτημα δημοσίευσης με τιμή “Όνομα” για να προσθέσετε τον μολυσμένο κεντρικό υπολογιστή στην υποδομή των επιτιθέμενων.
Το κακόβουλο λογισμικό περιλαμβάνει επίσης λειτουργίες για να διαβάσετε και να γράφετε σε αρχεία στο μηχάνημα κεντρικού υπολογιστή χρησιμοποιώντας λειτουργίες JSON όταν ενεργοποιούνται από συγκεκριμένες λέξεις -κλειδιά από τον διακομιστή C2, δίνοντας στους ηθοποιούς απειλής σε ευαίσθητα δεδομένα.
Για να μετριάσουν τον κίνδυνο εγκατάστασης backdoored κακόβουλο λογισμικό από online αποθετήρια κώδικα, οι προγραμματιστές λογισμικού θα πρέπει να διασφαλίσουν ότι τα πακέτα που κατεβάζουν και εγκαταστήσουν προέρχονται από τον επίσημο συγγραφέα πριν από την εγκατάσταση, ειδικά για δημοφιλείς, για να αποφευχθεί η τυποποίηση.
Επιπλέον, όταν χρησιμοποιείτε βιβλιοθήκες ανοιχτού κώδικα, θα πρέπει να αναθεωρήσουν τον κώδικα για ύποπτες ή δυσκολίες λειτουργίες και να εξετάσουν τη χρήση εργαλείων ασφαλείας για την ανίχνευση και την εμπλοκή κακόβουλων πακέτων.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
