色盲 RAT 爬上 PyPI

已发现上传到 PyPI 的名为“colourfool”的 Python 包包含恶意信息窃取程序和远程访问木马。

Kroll 的网络威胁情报团队确定了该恶意软件，他们将其称为“色盲”。像 colourfool 这样的恶意 Python 模块在安装脚本中隐藏了它们的有害代码，恶意软件通过 Visual Basic 脚本建立持久性，同时使用 transfer[.]sh 进行数据泄露。该木马能够收集密码、截取屏幕截图、记录击键、打开任意网页、执行命令、捕获加密钱包数据，甚至通过网络摄像头监视受害者。

该恶意软件还旨在通过检查沙箱执行和设置用于远程控制的 Flask Web 应用程序来逃避检测，它可以通过 Cloudflare 的反向隧道实用程序“cloudflared”访问。研究人员注意到该活动与 Phylum 上个月披露的活动有相似之处，在该活动中，六个欺诈包被用于分发名为 poweRAT 的窃取器兼 RAT，它还使用 Flask 和 Cloudflare 进行远程控制。

研究人员认为，这些相似之处表明不同的威胁行为者正在共享想法、资源或代码，而不是由单个行为者开发的代码库的演变。

什么是远程访问木马？

远程访问特洛伊木马 (RAT) 是一种恶意软件，可让攻击者未经授权访问受害者的计算机系统。然后攻击者可以远程控制受感染的系统，使他们能够窃取敏感数据、安装其他恶意软件并执行其他恶意活动。 RAT 通常通过网络钓鱼电子邮件、社会工程或其他类型的社会工程攻击来传播。安装后，它们会在系统中建立一个后门，允许攻击者远程访问和控制受害者的计算机。 RAT 通常用于针对个人、组织和政府的有针对性的攻击，它们很难检测和删除。