Kroll, un’organizzazione che si occupa di sicurezza informatica, ha scoperto un pacchetto malevolo chiamato “colourfool” all’interno del Python Package Index (PyPI). Questo pacchetto, che è stato caricato nell’archivio PyPI, è stato creato assemblando codice da varie fonti per creare un malware. Il pacchetto conteneva uno stealer di informazioni e un RAT (Remote Access Trojan) scritto in Python, con funzionalità di keylogging, ruba-portafogli di criptovaluta, acquisizione di screenshot del desktop dell’utente, acquisizione di dati IP, attivazione della webcam, ecc.
Il malware è stato creato assemblando parti di codice di terze parti, come dimostrato dalle variabili che seguono uno schema semplice di due caratteri e dalla presenza di funzioni che cercano di eludere gli antivirus e le macchine virtuali. Inoltre, il malware includeva un gioco “Snake” che sembra essere stato copiato da un repository di GitHub. Questo dimostra che l’attacco informatico si sta sempre più basando sull’assemblaggio di parti di codice di terze parti per creare nuovi malware, una tendenza nota come “democratizzazione della cybercriminalità”.
Questo tipo di attacco informatico è diventato sempre più comune, soprattutto attraverso l’inserimento di pacchetti malevoli in repository come PyPI, GitHub, NPM e RubyGems, utilizzati dai programmatori per costruire le loro applicazioni. Il fatto che i repository non controllino attentamente i pacchetti caricati li rende sempre più vulnerabili a questo tipo di attacco.
