Paket Python berbahaya yang diunggah ke Python Package Index (PyPI) telah ditemukan berisi pencuri informasi berfitur lengkap dan trojan akses jarak jauh.
Paket itu, bernama colourfool, diidentifikasi oleh tim Cyber Threat Intelligence Kroll, dengan perusahaan menyebut malware itu Buta Warna.
"Malware 'Buta Warna' menunjuk pada demokratisasi kejahatan dunia maya yang dapat mengarah pada lanskap ancaman yang semakin intensif, karena beberapa varian dapat muncul dari kode yang bersumber dari orang lain," kata peneliti Kroll Dave Truman dan George Glass dalam sebuah laporan yang dibagikan dengan The Hacker News.
colourfool, seperti modul Python nakal lainnya yang ditemukan dalam beberapa bulan terakhir, menyembunyikan kode berbahayanya dalam skrip pengaturan, yang menunjuk ke muatan arsip ZIP yang dihosting di Discord.
File ini berisi skrip Python (code.py) yang dilengkapi dengan modul berbeda yang dirancang untuk mencatat penekanan tombol, mencuri cookie, dan bahkan menonaktifkan perangkat lunak keamanan.
Malware, selain melakukan pemeriksaan penghindaran pertahanan untuk menentukan apakah itu sedang dijalankan di kotak pasir, membangun persistensi melalui skrip Visual Basic dan menggunakan transfer[.] sh untuk eksfiltrasi data.
"Sebagai metode remote control, malware memulai aplikasi web Flask, yang membuatnya dapat diakses ke internet melalui utilitas terowongan terbalik Cloudflare 'cloudflared,' melewati aturan firewall masuk," kata para peneliti.
Penggunaan terowongan Cloudflare mencerminkan kampanye lain yang diungkapkan oleh Phylum bulan lalu yang menggunakan enam paket palsu untuk mendistribusikan stealer-cum-RAT yang dijuluki poweRAT.
"Ada kesamaan yang kuat antara malware karena mereka berdua menggunakan Flask dan Cloudflare," kata Truman kepada The Hacker News. "Namun, sementara malware yang diteliti Phylum bergantung pada PowerShell untuk sebagian besar fungsi utamanya, 'Buta Warna' hampir seluruhnya ditulis dengan Python."
"Gabungkan ini dengan fungsionalitas yang disajikan oleh aplikasi web Flask yang melakukan tindakan berbeda, daripada malware yang lebih baru menambah fungsionalitas yang lebih lama, itu bisa berarti bahwa hubungan tersebut lebih dalam bentuk aktor ancaman yang berbeda berbagi ide, sumber daya atau kode, daripada evolusi basis kode yang dikembangkan oleh satu aktor, " Truman menambahkan.
