Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 921
- Points
- 113
Исследователи кибербезопасности обнаружили вредоносный пакет Python, загруженный в репозиторий Python Package Index (PyPI), который предназначен для доставки программы для кражи информации под названием Lumma (он же LummaC2).
Пакет, о котором идет речь, представляет собой crytic-compilers, опечатанную версию законной библиотеки с именем crytic-compile. Мошеннический пакет был загружен 441 раз, прежде чем его удалили разработчики PyPI.
"Поддельная библиотека интересна тем, что, помимо того, что она названа в честь законной утилиты Python "crytic-compile", номера ее версий совпадают с номерами реальной библиотеки", - сказал исследователь безопасности Sonatype Акс Шарма.
"В то время как последняя версия настоящей библиотеки заканчивается на 0.3.7, поддельная версия "crytic-compilers" начинается прямо здесь и заканчивается на 0.3.11, создавая впечатление, что это более новая версия компонента".
В дальнейшей попытке продолжить уловку было обнаружено, что некоторые версии crytic-compilers (например, 0.3.9) устанавливают реальный пакет посредством модификации скрипта setup.py.
Однако последняя версия отбрасывает все претензии на безопасную библиотеку, определяя, является ли операционная система Windows, и если да, запускает исполняемый файл ("s.exe"), который, в свою очередь, предназначен для извлечения дополнительных полезных нагрузок, включая Lumma Stealer.
Похититель информации, доступный другим преступным организациям по модели "вредоносное ПО как услуга" (MaaS), Lumma распространялся с помощью различных методов, таких как троянское программное обеспечение, вредоносная реклама и даже поддельные обновления браузера.
Обнаружение "демонстрирует опытных участников угроз, которые теперь нацелены на разработчиков Python и злоупотребляют реестрами с открытым исходным кодом, такими как PyPI, в качестве канала распространения своего мощного арсенала кражи данных", - сказал Шарма.
Цепочки атак включают в себя получение злоумышленниками несанкционированного доступа к интерфейсу администратора WordPress и установку законного плагина WordPress под названием Hustle – Email маркетинг, лидогенерация, Optins, всплывающие окна для загрузки кода, ответственного за отображение поддельных всплывающих окон обновления браузера.
"Эта кампания подчеркивает растущую тенденцию среди хакеров использовать законные плагины для вредоносных целей", - сказал исследователь безопасности Пуджа Шривастава. "Поступая таким образом, они могут избежать обнаружения файловыми сканерами, поскольку большинство плагинов хранят свои данные в базе данных WordPress".
Пакет, о котором идет речь, представляет собой crytic-compilers, опечатанную версию законной библиотеки с именем crytic-compile. Мошеннический пакет был загружен 441 раз, прежде чем его удалили разработчики PyPI.
"Поддельная библиотека интересна тем, что, помимо того, что она названа в честь законной утилиты Python "crytic-compile", номера ее версий совпадают с номерами реальной библиотеки", - сказал исследователь безопасности Sonatype Акс Шарма.
"В то время как последняя версия настоящей библиотеки заканчивается на 0.3.7, поддельная версия "crytic-compilers" начинается прямо здесь и заканчивается на 0.3.11, создавая впечатление, что это более новая версия компонента".
В дальнейшей попытке продолжить уловку было обнаружено, что некоторые версии crytic-compilers (например, 0.3.9) устанавливают реальный пакет посредством модификации скрипта setup.py.
Однако последняя версия отбрасывает все претензии на безопасную библиотеку, определяя, является ли операционная система Windows, и если да, запускает исполняемый файл ("s.exe"), который, в свою очередь, предназначен для извлечения дополнительных полезных нагрузок, включая Lumma Stealer.
Похититель информации, доступный другим преступным организациям по модели "вредоносное ПО как услуга" (MaaS), Lumma распространялся с помощью различных методов, таких как троянское программное обеспечение, вредоносная реклама и даже поддельные обновления браузера.
Обнаружение "демонстрирует опытных участников угроз, которые теперь нацелены на разработчиков Python и злоупотребляют реестрами с открытым исходным кодом, такими как PyPI, в качестве канала распространения своего мощного арсенала кражи данных", - сказал Шарма.
Поддельные кампании по обновлению браузера нацелены на сотни сайтов WordPress
Разработка началась после того, как Sucuri обнаружила, что более 300 сайтов WordPress были скомпрометированы вредоносными всплывающими окнами обновления Google Chrome, которые перенаправляют посетителей сайта на поддельные установщики MSIX, что приводит к развертыванию похитителей информации и троянов удаленного доступа.Цепочки атак включают в себя получение злоумышленниками несанкционированного доступа к интерфейсу администратора WordPress и установку законного плагина WordPress под названием Hustle – Email маркетинг, лидогенерация, Optins, всплывающие окна для загрузки кода, ответственного за отображение поддельных всплывающих окон обновления браузера.
"Эта кампания подчеркивает растущую тенденцию среди хакеров использовать законные плагины для вредоносных целей", - сказал исследователь безопасности Пуджа Шривастава. "Поступая таким образом, они могут избежать обнаружения файловыми сканерами, поскольку большинство плагинов хранят свои данные в базе данных WordPress".
