Détection des Attaques PyMafka

Plus tôt ce mois-ci, des chercheurs en sécurité ont découvert un paquet malveillant dans le registre Python Package Index (PyPI). Une fois dans le système, PyMafka récupère un beacon Cobalt Strike pertinent basé sur le système d’exploitation de la victime.

Le nom suggère que PyMafka est une tentative de typosquattage de PyKafka – un client de protocole Kafka conscient des clusters pour Python.

Détecter PyMafka

Pour identifier si votre environnement a été compromis par PyMafka, utilisez les règles Sigma ci-dessous développées par les talentueux membres du Programme de Prime de Menace de SOC Prime, Osman Demir and Sohan G:

Possibilité de Commande et Contrôle PyMafka par Téléchargement de Binaire Mach-O (via file_event)

Paquet Python PyMafka Suspect Dépose Cobalt Strike par Détection de Fautes de Frappe (via cmdline)

Evasion de Défense Malware PyMafka Suspecte par Détection de Fichiers associés (via file_event)

Les détections sont disponibles pour toutes les solutions SIEM, EDR & XDR leaders du marché, alignées avec la dernière version du cadre MITRE ATT&CK® v.10.

Désireux d’augmenter la visibilité sur les menaces existantes et émergentes ? Le Voir les Détections bouton vous amènera à la riche bibliothèque de contenus de détection de SOC Prime disponible pour tous les utilisateurs enregistrés. Les chasseurs de menaces expérimentés seraient un atout précieux pour le Programme de Prime de Menace, où ils peuvent augmenter leur vitesse de chasse aux menaces et contribuer à la défense collaborative contre la cybercriminalité avec plus de 23 000 responsables de la sécurité.

Voir les Détections Rejoindre le Programme de Prime de Menace

Analyse de la Campagne PyMafka

Les analystes de sécurité de Sonatype rapportent un nouveau scénario d’attaque de typosquattage. Les adversaires distribuent un paquet Python malveillant nommé PyMafka, exploitant la similitude de nom avec un client Kafka pour Python nommé PyKafka. Le scénario d’attaque est le suivant : La future victime télécharge un paquet PyMafka et l’ouvre. Le script Python dans le paquet identifie le système d’exploitation que la victime utilise pour récupérer une variante appropriée de trojan, qui est un beacon Cobalt Strike.

L’exécutable a montré un comportement cohérent avec les attaques Cobalt Strike, et toutes les variantes ont été repérées contactant des adresses IP basées en Chine. Le paquet n’est plus disponible dans le référentiel PyPI, ayant atteint un peu plus de 300 téléchargements avant d’être retiré. Les auteurs de la campagne PyMafka restent inconnus.

Avec l’intérêt croissant des adversaires pour l’exploitation des populaires référentiels de logiciels open-source, la plateforme SOC Prime aide à se défendre contre de nouvelles solutions de piratage plus rapidement et plus efficacement. Testez les capacités de diffusion de contenu du module CCM et aidez votre organisation à renforcer les opérations quotidiennes du SOC avec des renseignements sur les menaces cybernétiques. Restez informé dans l’environnement dynamique des risques de cybersécurité et obtenez les meilleures solutions d’atténuation avec SOC Prime.