Sicherheitsforscher entdeckten einen weiteren bösartigen Schädling (öffnet in neuem Tab) PyPI-Paket, dessen Ziel es ist, sensible Daten von Personen zu stehlen und nicht authentifizierten Benutzern Zugriff auf den kompromittierten Endpunkt zu gewähren.
Das Paket mit dem Namen „Colorfool“ sei offensichtlich bösartig, hieß es. Es hatte eine „verdächtig große“ Python-Datei, deren einzige Aufgabe darin bestand, eine andere Datei aus dem Internet herunterzuladen und auszuführen, während sichergestellt wurde, dass sie vor dem Benutzer des Geräts verborgen blieb.
“Die Funktion erschien daher sofort verdächtig und wahrscheinlich bösartig”, heißt es in dem Bericht.
Code „Ausleihe“.
Zu allem Überfluss war das nicht einmal das einzig Verdächtige an dieser Datei. Die URL, von der das Paket die Payload herunterladen muss, war fest codiert, was ein weiteres Warnsignal ist.
Das Python-Skript – code.py – enthielt Funktionen zum Stehlen von Informationen wie Keylogging und Cookie-Exfiltration. Außerdem war es in der Lage, Passwörter zu stehlen, Apps zu töten, Screenshots zu machen, Krypto-Wallet-Daten zu stehlen und sogar die Webcam des Geräts zu verwenden.
Was dieses Paket von allen anderen bösartigen PyPI-Paketen unterscheidet, die Sicherheitsforscher fast täglich entdecken, ist seine Frankenstein-ähnliche Natur. Der Code wurde aus Teilen der Arbeit anderer Leute zusammengeflickt, manchmal ohne Rücksicht auf Logik, den Ablauf des Codes oder irgendetwas anderes, schlagen die Forscher vor. Als ob der Autor einfach Teile des Codes kopiert und eingefügt hätte, wobei er oft überschüssigen Code einfach liegen ließ.
„Die Kombination aus Verschleierung und offensichtlich bösartigem Code deutet darauf hin, dass es unwahrscheinlich ist, dass der gesamte Code von einer einzigen Entität entwickelt wurde“, sagten die Forscher. “Es ist möglich, dass der letzte Entwickler hauptsächlich den Code anderer Leute verwendet und ihn per Kopieren und Einfügen hinzugefügt hat.”
Tatsächlich enthält der Code sogar das „Snake“-Spiel, das keinem bestimmten Zweck zu dienen scheint.
Für die Forscher ist dies ein perfektes Beispiel für die „Demokratisierung der Cyberkriminalität“, bei der Bedrohungsakteure einfach Code von anderen Bedrohungsakteuren übernehmen und in ihre Arbeit einbetten können.
Über: Das Register (öffnet in neuem Tab)