Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Неактивный пакет, доступный в репозитории Python Package Index (PyPI), был обновлен почти через два года для распространения вредоносного ПО, похищающего информацию, под названием Nova Sentinel.
Пакет под названием django-log-tracker, был впервые опубликован в PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочки поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления предполагает вероятную компрометацию учетной записи PyPI, принадлежащей разработчику.
Django-log-tracker был загружен 3866 раз на сегодняшний день, при этом rogue-версия (1.0.4) была загружена 107 раз на дату ее публикации. Пакет больше недоступен для загрузки с PyPI.
"В вредоносном обновлении злоумышленник удалил из пакета большую часть его исходного содержимого, оставив только __init__.py и example.py файл", - говорится в сообщении компании.
Изменения, простые и не требующие пояснений, включают в себя извлечение исполняемого файла с именем "Updater_1.4.4_x64.exe" с удаленного сервера ("45.88.180[.]54"), с последующим запуском его с помощью Python os.startfile() функция.
Двоичный файл, со своей стороны, встроен в Nova Sentinel, вредоносное ПО-воришке, которое было впервые задокументировано Sekoia в ноябре 2023 года как распространяемое в виде поддельных приложений Electron на поддельных сайтах, предлагающих загрузку видеоигр.
"Что интересно в этом конкретном случае [...], так это то, что вектор атаки, по-видимому, представлял собой попытку атаки по цепочке поставок через скомпрометированную учетную запись PyPI", - сказал Филум.
"Если бы это был действительно популярный пакет, любой проект, у которого этот пакет указан как зависимый, без указанной версии или гибкой версии, указанной в их файле зависимостей, получил бы последнюю вредоносную версию этого пакета".
Пакет под названием django-log-tracker, был впервые опубликован в PyPI в апреле 2022 года, согласно данным компании Phylum, занимающейся безопасностью цепочки поставок программного обеспечения, которая обнаружила аномальное обновление библиотеки 21 февраля 2024 года.
Хотя связанный репозиторий GitHub не обновлялся с 10 апреля 2022 года, появление вредоносного обновления предполагает вероятную компрометацию учетной записи PyPI, принадлежащей разработчику.
Django-log-tracker был загружен 3866 раз на сегодняшний день, при этом rogue-версия (1.0.4) была загружена 107 раз на дату ее публикации. Пакет больше недоступен для загрузки с PyPI.
"В вредоносном обновлении злоумышленник удалил из пакета большую часть его исходного содержимого, оставив только __init__.py и example.py файл", - говорится в сообщении компании.
Изменения, простые и не требующие пояснений, включают в себя извлечение исполняемого файла с именем "Updater_1.4.4_x64.exe" с удаленного сервера ("45.88.180[.]54"), с последующим запуском его с помощью Python os.startfile() функция.
Двоичный файл, со своей стороны, встроен в Nova Sentinel, вредоносное ПО-воришке, которое было впервые задокументировано Sekoia в ноябре 2023 года как распространяемое в виде поддельных приложений Electron на поддельных сайтах, предлагающих загрузку видеоигр.
"Что интересно в этом конкретном случае [...], так это то, что вектор атаки, по-видимому, представлял собой попытку атаки по цепочке поставок через скомпрометированную учетную запись PyPI", - сказал Филум.
"Если бы это был действительно популярный пакет, любой проект, у которого этот пакет указан как зависимый, без указанной версии или гибкой версии, указанной в их файле зависимостей, получил бы последнюю вредоносную версию этого пакета".
