Sikkerhedsforskere opdagede en "mystisk" ondsindet Python-pakke, der downloader Cobalt Strike malware på Windows, Linux, og macOS-systemer.
Kaldes "pymafka,” pakken udgiver sig som det legitime populære bibliotek PyKafka, en programmørvenlig Kafka-klient til Python. Ifølge Sonatype-forskere, den ondsindede pakke er blevet downloadet ca 300 gange.
"Den 17. maj, en mystisk 'pymafka’ pakken dukkede op i PyPI-registret. Pakken blev kort efter markeret af Sonatype Nexus-platformens automatiserede malware-detektionsfunktioner,”Siger forskerne.
Hvad er der inde i ondsindet pymafka-pakke?
Den allerførste ting at bemærke om den ondsindede pymafka-pakke er, at den er i stand til at opdage operativsystemet for at downloade den korrekte malware-variant. Kampagnen dropper den velkendte Cobalt Strike-trojaner. Malwaren er populær blandt røde teams og etiske hackere til at simulere cyberangreb fra den virkelige verden, men det er også brugt af cyberkriminelle. For eksempel, LockBit ransomware-banden har været kendt for at bruge Cobalt Strike beacon til at inficere sine ofre.
På Windows-systemer, specifikt, pakken forsøger at slippe Cobalt Strike-fyret ved 'C:\BrugerePubliciexplorer.exe', hvilket er en stavefejl af den legitime Internet Explorer-proces (iexplore.exe).
“De ondsindede eksekverbare filer, der downloades, er 'win.exe’ [VirusTotal], og 'MacOS’ [VirusTotal], med deres navne svarende til deres måloperativsystemer. Begge disse downloades fra IP-adressen 141.164.58[.]147, bestilt af cloud-hostingudbyderen, Vultr," rapporten tilføjet.
De nævnte eksekverbare filer forsøger at oprette forbindelse til en Kina-baseret IP-adresse, tildelt Alisoft (Alibaba). På det tidspunkt indsendte forskerne prøverne til VirusTotal, mindre end en tredjedel af dets antivirusmotorer opdagede dem som ondsindede. Det er nysgerrig at nævne det, på Windows OS, den nyttelast vedholdende undersøgte '/updates.rss’ slutpunkt og fortsatte med at sende krypterede cookieværdier i anmodninger. Denne adfærd er i overensstemmelse med Cobalt Strike beacons.
Hvad angår Linux-mål, det ondsindede Pythons-script forsøgte at downloade og køre en “env” eksekverbar fra en anden Alibaba-ejet IP-adresse. Alle disse opdagelser blev rapporteret til PyPI-registret, og pakken blev fjernet kort efter anmeldelsen.