Spalvotos žiurkės persikelia į PyPI
Nustatyta, kad Python pakete, pavadintame „colourfool“, kuris buvo įkeltas į PyPI, yra kenkėjiškos informacijos vagystės ir nuotolinės prieigos Trojos arklys.
„Kroll“ kibernetinių grėsmių žvalgybos komanda nustatė kenkėjišką programą, kurią pavadino „spalva aklu“. Kenkėjiški Python moduliai, tokie kaip colorfool, slepia savo žalingą kodą sąrankos scenarijuje, o kenkėjiška programa užtikrina išlikimą naudodama „Visual Basic“ scenarijų, kai duomenų išfiltravimui naudoja transfer[.]sh. Trojos arklys gali rinkti slaptažodžius, daryti ekrano kopijas, registruoti klavišų paspaudimus, atidaryti savavališkus tinklalapius, vykdyti komandas, užfiksuoti kriptovaliutų piniginės duomenis ir net šnipinėti aukas per jų internetines kameras.
Kenkėjiška programa taip pat skirta išvengti aptikimo tikrinant, ar vykdoma smėlio dėžė, ir nustatant nuotolinio valdymo žiniatinklio programą „Flask“, kurią ji leidžia pasiekti naudojant „Cloudflare“ atvirkštinio tunelio programą „debesų uždegimas“. Tyrėjai pastebėjo, kad ši kampanija yra panaši į tą, kurią „Phylum“ atskleidė praėjusį mėnesį, kai šeši apgaulingi paketai buvo naudojami platinant „stealer-cum-RAT“, vadinamą „poweRAT“, kuri nuotoliniam valdymui taip pat naudojo „Flask“ ir „Cloudflare“.
Tyrėjai mano, kad šie panašumai rodo, kad skirtingi grėsmės veikėjai dalijasi idėjomis, ištekliais ar kodu, o ne vieno veikėjo kuriama kodo bazės raida.
Kas yra nuotolinės prieigos Trojos arklys?
Nuotolinės prieigos Trojos arklys (RAT) yra kenkėjiškų programų tipas, suteikiantis užpuolikui neteisėtą prieigą prie aukos kompiuterinės sistemos. Tada užpuolikas gali nuotoliniu būdu valdyti pažeistą sistemą, leidžiančią pavogti neskelbtinus duomenis, įdiegti kitą kenkėjišką programinę įrangą ir atlikti kitą nešvankią veiklą. RAT paprastai pristatomi naudojant sukčiavimo el. laiškus, socialinę inžineriją ar kitas socialinės inžinerijos atakas. Įdiegę jie sukuria užpakalines duris į sistemą, leidžiančią užpuolikui pasiekti ir nuotoliniu būdu valdyti aukos kompiuterį. RAT dažnai naudojamos tikslinėms atakoms prieš asmenis, organizacijas ir vyriausybes, todėl jas gali būti labai sunku aptikti ir pašalinti.
Kaip galite apsaugoti savo sistemą nuo kenkėjiškų programų, panašių į spalvinių RAT?
Norėdami apsaugoti sistemą nuo kenkėjiškų programų, panašių į Colour-Blind RAT, galite atlikti kelis veiksmus:
- Atnaujinkite savo sistemą ir programinę įrangą naudodami naujausius saugos pataisymus ir naujinimus.
- Naudokite antivirusinę programinę įrangą ir reguliariai ją atnaujinkite.
- Būkite atsargūs atsisiųsdami ir diegdami programinę įrangą, ypač iš nepatikimų šaltinių.
- Naudokite patikimą programinės įrangos saugyklą, pvz., PyPI, ir atidžiai peržiūrėkite bet kurio paketo, kurį planuojate įdiegti, informaciją.
- Naudokite ugniasienę, kad blokuotumėte įeinantį srautą ir apribotumėte išeinantį srautą tik būtiniausiomis programomis.
- Reguliariai kurkite atsargines svarbių duomenų kopijas išoriniame įrenginyje arba debesies saugyklos paslaugoje.