Phần mềm độc hại Python 'BlazeStealer' cho phép tiếp quản hoàn toàn máy của nhà phát triển

Các gói Python độc hại giả dạng các công cụ làm xáo trộn mã hợp pháp đang nhắm mục tiêu vào các nhà phát triển thông qua kho lưu trữ mã PyPI.

Theo các nhà nghiên cứu tại Checkmarx, người đã đặt tên cho phần mềm độc hại là “BlazeStealer”, việc tập trung vào những người quan tâm đến việc che giấu mã là một lựa chọn sáng suốt có thể mang lại viên ngọc quý cho tổ chức.

Họ đã cảnh báo vào ngày 8 tháng XNUMX rằng BlazeStealer đặc biệt đáng lo ngại vì nó có thể lấy cắp dữ liệu máy chủ, đánh cắp mật khẩu, khởi chạy keylogger, mã hóa tệp và thực thi các lệnh của máy chủ. Theo nhà nghiên cứu mối đe dọa của Checkmarx, Yehuda Gelb, nó càng trở nên nguy hiểm hơn nhờ sự lựa chọn mục tiêu một cách khôn ngoan.

“Các nhà phát triển tham gia vào việc làm xáo trộn mã có thể đang làm việc với thông tin có giá trị và nhạy cảm. Do đó, tin tặc coi chúng là những mục tiêu có giá trị để theo đuổi và do đó có khả năng trở thành nạn nhân bị nhắm đến trong cuộc tấn công này”, Gelb giải thích.

BlazeStealer là phần mới nhất trong một làn sóng các gói Python bị xâm phạm những kẻ tấn công đã phát hành vào năm 2023. Vào tháng 200, các nhà nghiên cứu của Wiz đã cảnh báo về PyLoose, phần mềm độc hại bao gồm mã Python tải công cụ khai thác XMRig vào bộ nhớ máy tính bằng quy trình không cần tệp memfd Linux. Vào thời điểm đó, Wiz đã quan sát gần XNUMX trường hợp những kẻ tấn công sử dụng nó để khai thác tiền điện tử.

Về phần mình, Checkmark đã theo dõi nhiều gói dựa trên Python độc hại khác nhau, bao gồm cả gói của nó. Tháng 2023 năm XNUMX khám phá chuỗi văn hóa, chạy một vòng lặp đồng thời để ràng buộc tài nguyên hệ thống nhằm khai thác tiền điện tử Dero trái phép.

Kích hoạt phần mềm độc hại BlazeStealer

Tải trọng BlazeStealer có thể trích xuất một tập lệnh độc hại từ nguồn bên ngoài, giúp kẻ tấn công có toàn quyền kiểm soát máy tính của nạn nhân. Theo Gelb, tải trọng BlazeStealer độc hại sẽ kích hoạt sau khi được cài đặt trên hệ thống bị xâm nhập.

Để ra lệnh và điều khiển, BlazeStealer chạy một bot được truyền qua dịch vụ nhắn tin Discord bằng cách sử dụng mã định danh duy nhất.

Gelb cảnh báo: “Bot này, sau khi được kích hoạt, sẽ cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống của mục tiêu một cách hiệu quả, cho phép chúng thực hiện vô số hành động có hại trên máy của nạn nhân”. Bên cạnh việc thu thập dữ liệu máy chủ chi tiết, BlazeStealer có thể tải xuống tệp, tắt Windows Defender và Task Manager cũng như khóa máy tính bằng cách làm CPU quá tải. Nó thực hiện điều sau bằng cách chạy một tập lệnh bó trong thư mục khởi động để tắt máy tính hoặc gây ra lỗi BSO bằng tập lệnh Python.

BlazeStealer cũng có thể kiểm soát webcam của PC bằng cách sử dụng bot tải xuống tệp .ZIP từ máy chủ từ xa và cài đặt ứng dụng phần mềm miễn phí WebCamImageSave.exe.

“Điều này cho phép bot bí mật chụp ảnh bằng webcam. Hình ảnh thu được sau đó sẽ được gửi trở lại kênh Discord mà không để lại bất kỳ bằng chứng nào về sự hiện diện của nó sau khi xóa các tệp đã tải xuống”, Gelb lưu ý.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer