Zeer invasieve malware die zich richt op softwareontwikkelaars circuleert opnieuw in codebibliotheken die Trojaanse paarden bevatten, waarbij de laatste de afgelopen acht maanden duizenden keren is gedownload, aldus onderzoekers woensdag.
Sinds januari bevatten acht afzonderlijke ontwikkelaarstools verborgen ladingen met verschillende kwaadaardige mogelijkheden, meldde beveiligingsbedrijf Checkmarx. genoemd. De nieuwste versie werd vorige maand uitgebracht onder de naam ‘pyobfgood’. Net als de zeven voorgaande pakketten wordt pyobfgood gepresenteerd als een legitieme verduisteringstool die ontwikkelaars kunnen gebruiken om reverse engineering en manipulatie van hun code te ontmoedigen. Eenmaal uitgevoerd, installeert het een payload, waardoor de aanvaller bijna volledige controle krijgt over het apparaat van de ontwikkelaar. Mogelijkheden zijn onder meer:
Filter gedetailleerde hostinformatie
Wachtwoorden stelen uit de Chrome-webbrowser
Zet een keylogger op
Download bestanden van het systeem van het slachtoffer
Maak schermafbeeldingen en neem zowel scherm als audio op
De computer onbruikbaar maken door het CPU-gebruik te verhogen, een batchscript in de opstartmap in te voeren om de computer af te sluiten, of een BSOD-fout te forceren met behulp van een Python-script
Bestandsversleuteling, mogelijk in ruil voor losgeld
Deactiveer Windows Defender en Taakbeheer
Voer een willekeurige opdracht uit op de gecompromitteerde host
In totaal zijn pyobfgood en de voorgaande zeven tools 2.348 keer geïnstalleerd. Ze richtten zich op ontwikkelaars die de programmeertaal Python gebruiken. Als verduisteringstools waren de tools gericht op Python-ontwikkelaars met een reden om hun code geheim te houden omdat deze verborgen mogelijkheden, bedrijfsgeheimen of gevoelige functionaliteit bevatte. De kwaadaardige ladingen varieerden van tool tot tool, maar ze waren allemaal opmerkelijk vanwege hun mate van indringendheid.
“De verschillende pakketten die we hebben onderzocht vertonen een reeks kwaadaardig gedrag, waarvan sommige vergelijkbaar zijn met het ‘pyobfgood’-pakket”, schreef Checkmarx-beveiligingsonderzoeker Yehuda Gelb in een e-mail. “Hun functionaliteit is echter niet precies identiek. Velen van hen delen overeenkomsten, zoals de mogelijkheid om extra malware van een externe bron te downloaden en gegevens te stelen.
Alle acht tools gebruikten de string “pyobf” als de eerste vijf tekens in een poging om native verduisteringstools zoals pyobf2 en pyobfuscator na te bootsen. De andere zeven pakketten waren:
Biofotoxy
Biofossiel
implementeren
pyobfpremie
Piobvlucht
Biovooruitgang
BioViews
Hoewel Checkmarx zich voornamelijk op pyobfgood heeft gericht, heeft het bedrijf voor alle acht een releasetijdlijn verstrekt.
In zoomen/ Een tijdlijn die de release toont van alle acht kwaadaardige verduisteringstools.
Vinkjes
Pyobfgood heeft een botfunctie geïnstalleerd die werkt met de Discord-server gespecificeerd door de string:
Er waren geen aanwijzingen dat er iets mis was op de geïnfecteerde computer. Achter de schermen drong de kwaadaardige lading echter niet alleen binnen in enkele van de meest privémomenten van de ontwikkelaar, maar maakte hij tegelijkertijd stilletjes de spot met de ontwikkelaar in broncodecommentaar. Checkmarx uitgelegd:
De Discord-bot bevat een specifiek commando om uw computercamera te besturen. Dit wordt bereikt door in het geheim een zip-bestand te downloaden van een externe server, de inhoud ervan te extraheren en een applicatie uit te voeren met de naam WebCamImageSave.exe. Hierdoor kan de bot stiekem een foto maken met je webcam. De resulterende afbeelding wordt vervolgens teruggestuurd naar het Discord-kanaal, waardoor er geen bewijs is van het bestaan ervan nadat de gedownloade bestanden zijn verwijderd.
In zoomen/ Bekijk diverse opmerkingen over de broncode. Eén daarvan is: ‘Stop met luisteren naar achtergrondmuziek [incomplete]”
Vinkjes
Onder deze kwaadaardige functies komt de kwaadaardige humor van de bot naar voren via berichten die de aanstaande vernietiging van de gehackte machine bespotten. “Je computer zal beginnen op te branden, veel succes. :)” en “Je computer zal nu vastlopen, veel geluk om hem terug te krijgen :)”
Maar goed, er staat tenminste een smiley aan het einde van deze berichten.
Deze berichten benadrukken niet alleen kwade bedoelingen, maar ook de durf van aanvallers.
Pakketdownloads kwamen voornamelijk uit de Verenigde Staten (62%), gevolgd door China (12%) en Rusland (6%). “Het spreekt voor zich dat ontwikkelaars die betrokken zijn bij codeverduistering waarschijnlijk waardevolle en gevoelige informatie verwerken, en daarom vertaalt dit zich voor de hacker in een doelwit dat de moeite waard is om na te streven”, schreven Checkmarx-onderzoekers.
Dit is niet de eerste keer dat er malware wordt ontdekt in open source-software die de namen van originele pakketten nabootst. Een van de eerste gedocumenteerde gevallen deed zich voor in 2016, toen een student schetsscripts uploadde naar RubyGems, PyPi en NPM, gemeenschapswebsites voor ontwikkelaars van respectievelijk de programmeertalen Python, Ruby en JavaScript. Uit de thuistelefoonfunctie in de studententeksten bleek dat de frauduleuze code meer dan 45.000 keer werd uitgevoerd op meer dan 17.000 afzonderlijke domeinen, en dat in meer dan de helft van de gevallen de code zeer sterke beheerdersrechten kreeg. Twee van de getroffen domeinen eindigden op .mil, een indicatie dat mensen binnen het Amerikaanse leger het script gebruikten. Kort nadat dit concept de effectiviteit van de truc had bewezen, adopteerden echte aanvallers de techniek in een reeks kwaadaardige open source-transmissies die tot op de dag van vandaag voortduren. De nooit eindigende stroom aanvallen zou moeten dienen als een waarschuwend verhaal, waarbij de nadruk wordt gelegd op het belang van het zorgvuldig doorlichten van een pakket voordat het wordt uitgevoerd.
Mensen die willen controleren of ze het doelwit zijn, kunnen op hun apparaten zoeken naar de aanwezigheid van een van de acht toolnamen, de unieke Discord-serverstring en de hxxps-URL’s.[:]//transformatie[.]sh/get/wDK3Q8WOA9/start[.]rood en hxxps[:]//www[.]Bijna zacht[.]net/utils/webcamimagesave.zip.
