Индекс пакетов Python (PyPI) приостановил создание новых проектов и регистрацию пользователей, чтобы смягчить продолжающуюся кампанию по загрузке вредоносного ПО. Этот шаг был предпринят после того, как исследователи безопасности из Checkmarx обнаружили кампанию, включающую несколько вредоносных пакетов, связанных с одними и теми же злоумышленниками.
Злоумышленники нацелены на жертв с помощью атак с использованием опечаток, обманом заставляя пользователей устанавливать вредоносные пакеты Python через интерфейс командной строки. Эта многоэтапная атака направлена на кражу криптовалютных кошельков, конфиденциальных данных браузера, таких как файлы cookie и данные расширений, а также различных учетных данных.
Вредоносная полезная нагрузка также использует механизм сохранения, позволяющий пережить перезагрузку системы, обеспечивая постоянный доступ к скомпрометированным машинам.
Вредоносные пакеты тайпсквоттинга
В период с 27 по 28 марта 2024 года в PyPI было загружено несколько вредоносных пакетов Python — вероятно, с использованием инструментов автоматизации. Эти пакеты содержали вредоносный код в файлах setup.py, что позволяло автоматически запускать их после установки.
Файлы setup.py содержали запутанный и зашифрованный код с использованием модуля шифрования Fernet. После установки этот код выполнится, что приведет к получению дополнительной полезной нагрузки с удаленного сервера. URL-адрес полезной нагрузки был создан динамически путем добавления имени пакета в качестве параметра запроса.
После расшифровки полученная полезная нагрузка выявила обширный инструмент для кражи информации, предназначенный для сбора конфиденциальной информации с компьютера жертвы, включая криптовалютные кошельки, данные браузера и учетные данные.
В ответ на кампанию вредоносного ПО PyPI временно приостановила создание новых проектов и регистрацию новых пользователей. Эта мера направлена на смягчение существующей угрозы, пока организация расследует и решает проблему.
Вы можете найти полный список пакетов, обнаруженных Checkmarx. здесь.
(Фото Дэвида Клода на Unsplash)
Смотрите также: Автоисправление сканирования кода GitHub входит в публичную бета-версию
Ознакомьтесь с другими предстоящими мероприятиями и вебинарами в области корпоративных технологий, проводимыми TechForge. здесь.
Специальная подборка для Вас