SilentSync RAT thông qua hai gói PyPI độc hại nhắm vào các nhà phát triển Python

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra hai gói độc hại mới trong kho lưu trữ Python Package Index (PyPI) được thiết kế để phát tán trojan truy cập từ xa có tên là SilentSync trên hệ thống Windows.

"SilentSync có khả năng thực thi lệnh từ xa, trích xuất tệp và chụp màn hình", Manisha Ramcharan Prajapati và Satyam Singh của Zscaler ThreatLabz cho biết. "SilentSync cũng trích xuất dữ liệu trình duyệt web, bao gồm thông tin đăng nhập, lịch sử, dữ liệu tự động điền và cookie từ các trình duyệt web như Chrome, Brave, Edge và Firefox."

Các gói, hiện không còn khả dụng để tải xuống từ PyPI, được liệt kê bên dưới. Cả hai đều được tải lên bởi người dùng có tên "CondeTGAPIS".

    sisaws (201 lượt tải xuống)
    secmeasure (627 Lượt tải xuống)

Zscaler cho biết gói sisaws mô phỏng hành vi của gói Python hợp pháp sisa, có liên quan đến hệ thống thông tin y tế quốc gia của Argentina, Sistema Integrado de Información Sanitaria Argentino (SISA).

Tuy nhiên, thư viện có một hàm gọi là "gen_token()" trong tập lệnh khởi tạo (__init__.py) hoạt động như một trình tải xuống cho phần mềm độc hại giai đoạn tiếp theo. Để đạt được điều này, nó gửi một mã thông báo được mã hóa cứng làm đầu vào và nhận được phản hồi là một mã thông báo tĩnh thứ cấp theo cách tương tự như API SISA hợp lệ.

"Nếu một nhà phát triển nhập gói sisaws và gọi hàm gen_token, mã sẽ giải mã một chuỗi thập lục phân hiển thị lệnh curl, sau đó được sử dụng để lấy thêm một tập lệnh Python", Zscaler cho biết. "Tập lệnh Python được lấy từ PasteBin sẽ được ghi vào tệp   Đăng nhập để xem liên kết trong một thư mục tạm thời và được thực thi."

Tương tự như vậy, Secmeasure ngụy trang thành "thư viện để làm sạch chuỗi và áp dụng các biện pháp bảo mật", nhưng lại chứa chức năng nhúng để loại bỏ SilentSync RAT.

Ở giai đoạn này, SilentSync chủ yếu hướng đến việc lây nhiễm các hệ thống Windows, nhưng phần mềm độc hại này cũng được trang bị các tính năng tích hợp cho Linux và macOS, thực hiện các sửa đổi Registry trên Windows, thay đổi tệp crontab trên Linux để thực thi payload khi khởi động hệ thống và đăng ký LaunchAgent trên macOS.

Gói này dựa vào sự hiện diện của mã thông báo phụ để gửi yêu cầu HTTP GET đến điểm cuối được mã hóa cứng ("200.58.107[.]25") để nhận mã Python được thực thi trực tiếp trong bộ nhớ. Máy chủ hỗ trợ bốn điểm cuối khác nhau -

    /checkin, để xác minh kết nối
    /comando, để yêu cầu lệnh thực thi
    /respuesta, để gửi tin nhắn trạng thái
    /archivo, để gửi lệnh đầu ra hoặc dữ liệu bị đánh cắp

Phần mềm độc hại này có khả năng thu thập dữ liệu trình duyệt, thực thi lệnh shell, chụp ảnh màn hình và đánh cắp tệp. Nó cũng có thể trích xuất các tệp và toàn bộ thư mục dưới dạng tệp ZIP. Sau khi dữ liệu được truyền đi, tất cả các hiện vật sẽ bị xóa khỏi máy chủ để tránh bị phát hiện.

Zscaler cho biết: "Việc phát hiện ra các gói PyPI độc hại sisaws và secmeasure làm nổi bật nguy cơ tấn công chuỗi cung ứng ngày càng gia tăng trong các kho lưu trữ phần mềm công cộng. Bằng cách lợi dụng lỗi đánh máy và giả mạo các gói hợp pháp, kẻ tấn công có thể truy cập vào thông tin nhận dạng cá nhân (PII)."