Mohon tunggu...
Arxx00xx
Arxx00xx Mohon Tunggu... Lainnya - Freelance/Graphic Designer

I'm student who has unlimited desires and always tries to go beyond my own limits.

Selanjutnya

Tutup

Ilmu Alam & Tekno

Para Ahli Mengidentifikasi Pencuri Informasi Berfitur Lengkap dan Trojan dalam Paket Python di PyPI

10 Maret 2023   17:54 Diperbarui: 10 Maret 2023   17:58 205
+
Laporkan Konten
Laporkan Akun
Kompasiana adalah platform blog. Konten ini menjadi tanggung jawab bloger dan tidak mewakili pandangan redaksi Kompas.
Lihat foto
Python (thehackernews)

Paket Python berbahaya yang diunggah ke Python Package Index (PyPI) telah ditemukan berisi pencuri informasi berfitur lengkap dan trojan akses jarak jauh.

Paket itu, bernama colourfool, diidentifikasi oleh tim Cyber Threat Intelligence Kroll, dengan perusahaan menyebut malware itu Buta Warna.

"Malware 'Buta Warna' menunjuk pada demokratisasi kejahatan dunia maya yang dapat mengarah pada lanskap ancaman yang semakin intensif, karena beberapa varian dapat muncul dari kode yang bersumber dari orang lain," kata peneliti Kroll Dave Truman dan George Glass dalam sebuah laporan yang dibagikan dengan The Hacker News.

colourfool, seperti modul Python nakal lainnya yang ditemukan dalam beberapa bulan terakhir, menyembunyikan kode berbahayanya dalam skrip pengaturan, yang menunjuk ke muatan arsip ZIP yang dihosting di Discord.

File ini berisi skrip Python (code.py) yang dilengkapi dengan modul berbeda yang dirancang untuk mencatat penekanan tombol, mencuri cookie, dan bahkan menonaktifkan perangkat lunak keamanan.

Malware, selain melakukan pemeriksaan penghindaran pertahanan untuk menentukan apakah itu sedang dijalankan di kotak pasir, membangun persistensi melalui skrip Visual Basic dan menggunakan transfer[.] sh untuk eksfiltrasi data.

"Sebagai metode remote control, malware memulai aplikasi web Flask, yang membuatnya dapat diakses ke internet melalui utilitas terowongan terbalik Cloudflare 'cloudflared,' melewati aturan firewall masuk," kata para peneliti.

Penggunaan terowongan Cloudflare mencerminkan kampanye lain yang diungkapkan oleh Phylum bulan lalu yang menggunakan enam paket palsu untuk mendistribusikan stealer-cum-RAT yang dijuluki poweRAT.

"Ada kesamaan yang kuat antara malware karena mereka berdua menggunakan Flask dan Cloudflare," kata Truman kepada The Hacker News. "Namun, sementara malware yang diteliti Phylum bergantung pada PowerShell untuk sebagian besar fungsi utamanya, 'Buta Warna' hampir seluruhnya ditulis dengan Python."

"Gabungkan ini dengan fungsionalitas yang disajikan oleh aplikasi web Flask yang melakukan tindakan berbeda, daripada malware yang lebih baru menambah fungsionalitas yang lebih lama, itu bisa berarti bahwa hubungan tersebut lebih dalam bentuk aktor ancaman yang berbeda berbagi ide, sumber daya atau kode, daripada evolusi basis kode yang dikembangkan oleh satu aktor, " Truman menambahkan.

HALAMAN :
  1. 1
  2. 2
Mohon tunggu...

Lihat Konten Ilmu Alam & Tekno Selengkapnya
Lihat Ilmu Alam & Tekno Selengkapnya
Beri Komentar
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE

Belum ada komentar. Jadilah yang pertama untuk memberikan komentar!
LAPORKAN KONTEN
Alasan
Laporkan Konten
Laporkan Akun