SilentSync RAT
A Zscaler ThreatLabz kutatói nyár elején több rosszindulatú Python csomagot fedeztek fel a PyPI nyílt forráskódú tárházában, amelyek SilentSync RAT fertőzést juttatnak be. Az egyik csomag, a sisaws, tipikus typo-squatting módszert alkalmaz, mivel a valódi sisa könyvtár nevéhez hasonlót használ, amely az argentin állami egészségügyi információs rendszer API-it szolgálja ki. Egy másik csomag, secmeasure, ugyanattól a szerzőtől származik, és hasonló módon viselkedik: álcázza, hogy biztonsági szűrőket végez, miközben valójában SilentSync-et telepít.
A SilentSync képes távoli parancsok fogadására, fájlok eltulajdonítására, képernyőképek készítésére, valamint böngészési adatok — mentett jelszavak, cookie-k, előzmények — lopására Chrome, Edge, Firefox és Brave böngészőkből. Jelenleg csak Windows rendszert támad, de a RAT megvan más operációs rendszerekhez szükséges komponensekkel is. A fertőzés után a RAT automatikusan elindul újraindításkor, és HTTP protokollon keresztül kommunikál a támadó szerverrel.
A megbízható nyilvános forrásokból származó szoftverek is lehetnek fertőzöttek, ha a fejlesztők vagy felhasználók nem elég körültekintők. Ennélfogva kiemelt fontosságú, hogy minden telepített csomag metaadatait megvizsgáljuk, figyeljünk a szerzői hitelességre, és használjunk olyan biztonsági megoldásokat, amelyek képesek felismerni az ilyen jellegű fertőzéseket.
