Sicherheitsforscher entdeckten ein „mysteriöses“ bösartiges Python-Paket, das die Malware Cobalt Strike auf Windows herunterlädt, Linux, und macOS-Systemen.
Genannt „Pymafka,” Das Paket gibt sich als die legitime populäre Bibliothek PyKafka aus, ein programmiererfreundlicher Kafka-Client für Python. Laut Sonatype-Forschern, das bösartige Paket wurde ungefähr heruntergeladen 300 mal.
„Am 17. Mai, eine mysteriöse 'pymafka’ Paket erschien in der PyPI-Registrierung. Das Paket wurde kurz darauf von den automatisierten Malware-Erkennungsfunktionen der Sonatype Nexus-Plattform markiert,“Sagten die Forscher.
Inhalt des bösartigen pymafka-Pakets?
Das allererste, was beim bösartigen Pymafka-Paket zu beachten ist, ist, dass es in der Lage ist, das Betriebssystem zu erkennen, um die richtige Malware-Variante herunterzuladen. Die Kampagne löscht den bekannten Cobalt Strike-Trojaner. Die Malware ist bei Red Teams und ethischen Hackern beliebt, um reale Cyberangriffe zu simulieren, aber es ist auch von Cyberkriminellen verwendet. Beispielsweise, die LockBit-Ransomware-Bande Es ist bekannt, dass es das Cobalt Strike-Signal verwendet, um seine Opfer zu infizieren.
Auf Windows-Systemen, speziell, das Paket versucht, das Cobalt-Strike-Funkfeuer bei 'C abzusetzen:\BenutzerÖffentlichiexplorer.exe', Dies ist ein Rechtschreibfehler des legitimen Internet Explorer-Prozesses (iexplore.exe).
„Die bösartigen ausführbaren Dateien, die heruntergeladen werden, sind ‚win.exe’ [Virustotal], und 'MacOS’ [Virustotal], mit ihren Namen, die ihren Zielbetriebssystemen entsprechen. Beide werden von der IP-Adresse heruntergeladen 141.164.58[.]147, im Auftrag des Cloud-Hosting-Anbieters, Vultr," der Bericht hinzugefügt.
Die genannten ausführbaren Dateien versuchen, eine Verbindung zu einer in China ansässigen IP-Adresse herzustellen, Alisoft zugeordnet (Alibaba). Damals reichten die Forscher die Proben bei VirusTotal ein, weniger als ein Drittel seiner Antiviren-Engines erkannte sie als bösartig. Es ist merkwürdig, das zu erwähnen, auf dem Windows-Betriebssystem, die Nutzlast durchsuchte ständig die '/updates.rss’ Endpunkt und weiterhin verschlüsselte Cookie-Werte in Anfragen senden. Dieses Verhalten stimmt mit Cobalt-Strike-Beacons überein.
Wie für Linux-Ziele, Das bösartige Pythons-Skript hat versucht, eine herunterzuladen und auszuführen “env” ausführbar von einer anderen Alibaba-eigenen IP-Adresse. Alle diese Entdeckungen wurden der PyPI-Registrierung gemeldet, und das Paket wurde kurz nach der Meldung entfernt.