Des chercheurs en sécurité ont détecté un package Python malveillant "mystérieux" qui télécharge le malware Cobalt Strike sur Windows, Linux, et systèmes macOS.
Appelé "pymafka,” le paquet se fait passer pour la bibliothèque populaire légitime PyKafka, un client Kafka convivial pour les programmeurs pour Python. Selon les chercheurs de Sonatype, le paquet malveillant a été téléchargé environ 300 fois.
« Le 17 mai, un mystérieux 'pymafka’ le paquet est apparu sur le registre PyPI. Le paquet a été rapidement signalé par les capacités de détection automatisée des logiciels malveillants de la plate-forme Sonatype Nexus.,» Les chercheurs.
Qu'y a-t-il dans le package pymafka malveillant?
La toute première chose à noter à propos du package malveillant pymafka est qu'il est capable de détecter le système d'exploitation afin de télécharger la bonne variante du logiciel malveillant.. La campagne abandonne le célèbre cheval de Troie Cobalt Strike. Le malware est populaire parmi les équipes rouges et les pirates éthiques pour simuler des cyberattaques dans le monde réel, mais il est également utilisé par les cybercriminels. Par exemple, le gang des rançongiciels LockBit est connu pour utiliser la balise Cobalt Strike pour infecter ses victimes.
Sur les systèmes Windows, spécifiquement, le colis essaie de déposer la balise Cobalt Strike à 'C:\UtilisateursPubliciexplorer.exe', qui est une faute d'orthographe du processus légitime d'Internet Explorer (iexplore.exe).
"Les exécutables malveillants téléchargés sont 'win.exe’ [VirusTotal], et 'Mac OS’ [VirusTotal], avec leurs noms correspondant à leurs systèmes d'exploitation cibles. Les deux sont téléchargés à partir de l'adresse IP 141.164.58[.]147, commandé par le fournisseur d'hébergement cloud, Vultr," le rapport ajouté.
Lesdits exécutables tentent de se connecter à une adresse IP basée en Chine, attribué à Alisoft (Alibaba). Au moment où les chercheurs ont soumis les échantillons à VirusTotal, moins d'un tiers de ses moteurs antivirus les ont détectés comme malveillants. Il est curieux de mentionner que, sur le système d'exploitation Windows, la charge utile constamment interrogé le '/updates.rss’ endpoint et continue d'envoyer des valeurs de cookie cryptées dans les demandes. Ce comportement est cohérent avec les balises Cobalt Strike.
Quant aux cibles Linux, le script Pythons malveillant a tenté de télécharger et d'exécuter un “env” exécutable depuis une autre adresse IP appartenant à Alibaba. Toutes ces découvertes ont été signalées au registre PyPI, et le paquet a été supprimé peu de temps après le rapport.