Sikkerhedsforskere opdagede en "mystisk" ondsindet Python-pakke, der downloader Cobalt Strike malware på Windows, Linux, og macOS-systemer.
Kaldes "pymafka,” pakken udgiver sig som det legitime populære bibliotek PyKafka, en programmørvenlig Kafka-klient til Python. Ifølge Sonatype-forskere, den ondsindede pakke er blevet downloadet ca 300 gange.
![Ondsindet Python-pakke [pymafka] Dropper Cobalt Strike på macOS, Windows og Linux](https://cdn.sensorstechforum.com/wp-content/uploads/2022/03/advanced-persistent-threat-malware-backdoor-sensorstechforum-1024x585.jpg)
"Den 17. maj, en mystisk 'pymafka’ pakken dukkede op i PyPI-registret. Pakken blev kort efter markeret af Sonatype Nexus-platformens automatiserede malware-detektionsfunktioner,”Siger forskerne.
Hvad er der inde i ondsindet pymafka-pakke?
Den allerførste ting at bemærke om den ondsindede pymafka-pakke er, at den er i stand til at opdage operativsystemet for at downloade den korrekte malware-variant. Kampagnen dropper den velkendte Cobalt Strike-trojaner. Malwaren er populær blandt røde teams og etiske hackere til at simulere cyberangreb fra den virkelige verden, men det er også brugt af cyberkriminelle. For eksempel, LockBit ransomware-banden har været kendt for at bruge Cobalt Strike beacon til at inficere sine ofre.
På Windows-systemer, specifikt, pakken forsøger at slippe Cobalt Strike-fyret ved 'C:\BrugerePubliciexplorer.exe', hvilket er en stavefejl af den legitime Internet Explorer-proces (iexplore.exe).
“De ondsindede eksekverbare filer, der downloades, er 'win.exe’ [VirusTotal], og 'MacOS’ [VirusTotal], med deres navne svarende til deres måloperativsystemer. Begge disse downloades fra IP-adressen 141.164.58[.]147, bestilt af cloud-hostingudbyderen, Vultr," rapporten tilføjet.
De nævnte eksekverbare filer forsøger at oprette forbindelse til en Kina-baseret IP-adresse, tildelt Alisoft (Alibaba). På det tidspunkt indsendte forskerne prøverne til VirusTotal, mindre end en tredjedel af dets antivirusmotorer opdagede dem som ondsindede. Det er nysgerrig at nævne det, på Windows OS, den nyttelast vedholdende undersøgte '/updates.rss’ slutpunkt og fortsatte med at sende krypterede cookieværdier i anmodninger. Denne adfærd er i overensstemmelse med Cobalt Strike beacons.
Hvad angår Linux-mål, det ondsindede Pythons-script forsøgte at downloade og køre en “env” eksekverbar fra en anden Alibaba-ejet IP-adresse. Alle disse opdagelser blev rapporteret til PyPI-registret, og pakken blev fjernet kort efter anmeldelsen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: