Botaa3 मैलवेयर
पायथन पैकेज इंडेक्स (PyPI) रिपॉजिटरी पर एक और खतरनाक पैकेज खोजा गया था। इससे पहले कि इसे नीचे ले जाया जाता, खतरा लगभग 130 डाउनलोड तक पहुंचने में कामयाब रहा। पायथन के लिए व्यापक रूप से लोकप्रिय अमेज़ॅन वेब सर्विसेज (AWS) सॉफ्टवेयर डेवलपमेंट किट (SDK) नाम 'boto3' की नकल करने के एक खराब प्रयास में पैकेज को 'botaa3' नाम दिया गया था।
साइबर सुरक्षा विशेषज्ञों ने खतरे के कोड का विश्लेषण किया और इसकी नापाक क्षमताओं का पता लगाया। botaa3 पैकेज, अगरसफलतापूर्वक तैनात, हमलावरों को भंग प्रणाली पर मनमाने ढंग से कोड निष्पादित करने की क्षमता प्रदान करेगा, प्रभावी रूप से उस पर नियंत्रण रखेगा।
तकनीकी जानकारी
botaa3 पैकेज में बेस 64-एन्कोडिंग और बिटवाइज़ XOR एन्क्रिप्शन का उपयोग करते हुए कई स्तरों के ओफ़्फ़ुसेशन को दिखाया गया है। इसके अलावा, यह वैध boto3 पैकेज का संपूर्ण कोड भी वहन करता है। वास्तव में, खतरा किसी भी संदेह को बढ़ाने से बचने के प्रयास में, अपने कार्यों के हिस्से के रूप में boto3 को स्थापित करता है। कोड में दफन 17 नवंबर, 2020 को सेट किया गया 'किलडेट' भी है। इस तारीख के बाद, botaa3 पैकेज अब चालू नहीं होगा।
धमकी देने की क्षमता
मैलवेयर द्वारा की गई पहली कार्रवाइयों में से एक इसके कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से जांच करना है। इस चरण के दौरान, botaa3 पीड़ित के सिस्टम से ली गई विभिन्न सूचनाओं को बाहर निकालता है। डेटा में IP पता, OS और आर्किटेक्चर विवरण, खाता क्रेडेंशियल, होस्टनाम, FQDN (पूरी तरह से योग्य डोमेन नाम) और बहुत कुछ शामिल हैं।
बाद में, botaa3 आने वाली कमांड की प्रतीक्षा करेगा। थ्रेट ऐक्टर्स फाइलों को इकट्ठा करने या अतिरिक्त डाउनलोड करने, फाइल सिस्टम में हेरफेर करने (फाइलों और फ़ोल्डरों को हटाने), रिवर्स शेल खोलने, अतिरिक्त पायथन मॉड्यूल और स्क्रिप्ट आदि को लोड करने में सक्षम हैं। हमलावर मैलवेयर को अपनी गतिविधियों को रोकने और लेटने का निर्देश भी दे सकते हैं। प्रसुप्त।
botaa3 खतरे की उपस्थिति की सूचना मिलने के बाद, PyPI सुरक्षा दल ने लगभग तुरंत कार्रवाई की और धमकी भरे पैकेज को हटा दिया।
