El troyano implementado en el sistema tiene una amplia gama de capacidades de robo de datos. Busca directorios específicos dentro de los navegadores Opera, Chrome, Brave, Vivaldi, Yandex y Edge y extrae cookies de autenticación, información de autocompletar, historial de navegación, marcadores, información de tarjetas de crédito y credenciales de inicio de sesión.
El troyano también intenta robar archivos asociados con carteras de criptomonedas, tokens de Discord que pueden proporcionar acceso a cuentas de Discord, tokens de sesión de Telegram, archivos de computadora con palabras clave específicas en sus nombres y detalles de cuentas de Instagram. El malware también tiene un componente de registro de teclas que captura las pulsaciones de teclas de la víctima y las carga en el servidor de comando y control.
Es seguro asumir que si alguna de las credenciales o tokens de acceso robados proporciona a los atacantes acceso a cuentas de GitHub con privilegios de confirmación en diferentes repositorios, intentarán abusar de esos privilegios para distribuir aún más su troyano. Lamentablemente, es posible que estos compromisos no sean fáciles de detectar.
Los investigadores de Checkmarx señalan que cuando agregaron su paquete Coloroma malicioso al archivo de requisitos.txt de un proyecto, las confirmaciones también incluyeron contribuciones y cambios de código legítimos. De hecho, sus repositorios fraudulentos albergaban copias de proyectos legítimos y funcionales.
De hecho, después de que se informara y eliminara el dominio pypihosted.org, un usuario abrió un ticket de error en uno de los repositorios fraudulentos para informar que estaba recibiendo un error relacionado con que pypihosted.org estaba inactivo al intentar instalarlo. Esto muestra cuán convincentes pueden ser estos ataques y el efecto de bola de nieve que pueden tener en el ecosistema, especialmente si, como resultado, los desarrolladores de proyectos legítimos ven secuestradas sus cuentas.
