色盲 RAT 爬上 PyPI

已發現上傳到 PyPI 的名為“colourfool”的 Python 包包含惡意信息竊取程序和遠程訪問木馬。

Kroll 的網絡威脅情報團隊確定了該惡意軟件，他們將其稱為“色盲”。像 colourfool 這樣的惡意 Python 模塊在安裝腳本中隱藏了它們的有害代碼，惡意軟件通過 Visual Basic 腳本建立持久性，同時使用 transfer[.]sh 進行數據洩露。該木馬能夠收集密碼、截取屏幕截圖、記錄擊鍵、打開任意網頁、執行命令、捕獲加密錢包數據，甚至通過網絡攝像頭監視受害者。

該惡意軟件還旨在通過檢查沙箱執行和設置用於遠程控制的 Flask Web 應用程序來逃避檢測，它可以通過 Cloudflare 的反向隧道實用程序“cloudflared”訪問。研究人員注意到該活動與 Phylum 上個月披露的活動有相似之處，在該活動中，六個欺詐包被用於分發名為 poweRAT 的竊取器兼 RAT，它還使用 Flask 和 Cloudflare 進行遠程控制。

研究人員認為，這些相似之處表明不同的威脅行為者正在共享想法、資源或代碼，而不是由單個行為者開發的代碼庫的演變。

什麼是遠程訪問木馬？

遠程訪問特洛伊木馬 (RAT) 是一種惡意軟件，可讓攻擊者未經授權訪問受害者的計算機系統。然後攻擊者可以遠程控制受感染的系統，使他們能夠竊取敏感數據、安裝其他惡意軟件並執行其他惡意活動。 RAT 通常通過網絡釣魚電子郵件、社會工程或其他類型的社會工程攻擊來傳播。安裝後，它們會在系統中建立一個後門，允許攻擊者遠程訪問和控制受害者的計算機。 RAT 通常用於針對個人、組織和政府的有針對性的攻擊，它們很難檢測和刪除。