PyPI-n terjesztett SPARK RAT
A Phylum automatizált kockázatészlelő platformja fazonosított egy a PyPI-n közzétett kártékony kódot. A közelmúltban több próbálkozás volt arra, hogy rosszindulatú programokat tegyenenek közzé a PyPI-n, amik többnyire azzal kezdődtek, hogy vettek egy meglévő csomagot, majd titokban becsúsztattak egy kis kártevőt. Ebben az esetben a rosszindulatú program szerzője a colored csomagot használták ki. a rosszindulatú program szerzője nagyon hasonló felhasználónévvel tette közzé a rosszindulatú csomagokat a PyPI-nek, mint a törvényes coloredcsomag jogos szerzője. A jogos szerző felhasználóneve „dslackw”, a kártevőt pedig „dslackw12” felhasználónévvel tették közzé.
A kártékony kód valószínűleg Spark, vagy közeli változata, mivel a használt függvények és csomagok összhangban vannak statikus és dinamikus elemzésünkkel. A Spark (nem tévesztendő össze az Apache Sparkkal) a README szerint egy webalapú, többplatformos és teljes értékű Remote Administration Tool (RAT) Go-ban írva, amely lehetővé teszi az összes eszköz vezérlését bárhol.