Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 913
- Points
- 113
Исследователи кибербезопасности предупредили о новом вредоносном пакете Python, который был обнаружен в репозитории Python Package Index (PyPI) для облегчения кражи криптовалюты в рамках более широкой кампании.
Пакет, о котором идет речь, является pytoileur, который был загружен 316 раз на момент написания статьи. Интересно, что автор пакета, известный под именем PhilipsPY, загрузил новую версию пакета (1.0.2) с идентичной функциональностью после того, как предыдущая версия (1.0.1) была удалена разработчиками PyPI 28 мая 2024 года.
Согласно анализу, опубликованному Sonatype, вредоносный код встроен в пакет setup.py скрипт, позволяющий ему выполнять полезную нагрузку в кодировке Base64, которая отвечает за получение двоичного файла Windows с внешнего сервера.
"Полученный двоичный файл "Runtime.exe" затем запускается с помощью команд Windows PowerShell и VBScript в системе", - сказал исследователь безопасности Акс Шарма.
После установки двоичный файл обеспечивает сохраняемость и сбрасывает дополнительные полезные нагрузки, включая шпионское ПО и вредоносное ПО-краже, способное собирать данные из веб-браузеров и криптовалютных сервисов.
Sonatype заявила, что также идентифицировала недавно созданную учетную запись StackOverflow под названием "EstAYA G", отвечающую на запросы пользователей на платформе вопросов и ответов, предписывая им установить вредоносный пакет pytoileur в качестве предполагаемого решения их проблем.
"Хотя при оценке псевдонимных учетных записей пользователей на интернет-платформах без доступа к журналам сложно установить точную атрибуцию, недавний возраст обеих этих учетных записей пользователей и их единственная цель публикации и продвижения вредоносного пакета Python дают нам веские основания полагать, что они связаны с одним и тем же субъектом угрозы, стоящим за этой кампанией", - сказал Шарма в интервью Hacker News.
Разработка знаменует собой новую эскалацию в том смысле, что она злоупотребляет надежной платформой в качестве вектора распространения вредоносного ПО.
"Беспрецедентное открытое злоупотребление такой надежной платформой, использование ее в качестве питательной среды для вредоносных кампаний, является огромным предупреждающим знаком для разработчиков во всем мире", - говорится далее в заявлении Sonatype, опубликованном в Hacker News.
"Компрометация StackOverflow вызывает особую озабоченность, учитывая большое количество начинающих разработчиков, которые все еще учатся, задают вопросы и могут поддаться вредоносному совету".
Более тщательное изучение метаданных пакета и истории его авторства выявило совпадения с предыдущей кампанией с использованием поддельных пакетов Python, таких как Pystob и Pywool, которая была раскрыта Checkmarx в ноябре 2023 года.
Полученные результаты являются еще одним примером того, почему экосистемы с открытым исходным кодом продолжают быть магнитом для субъектов угроз, стремящихся скомпрометировать несколько целей одновременно с помощью таких похитителей информации, как Bladeroid и других вредоносных программ посредством так называемой атаки по цепочке поставок.
Пакет, о котором идет речь, является pytoileur, который был загружен 316 раз на момент написания статьи. Интересно, что автор пакета, известный под именем PhilipsPY, загрузил новую версию пакета (1.0.2) с идентичной функциональностью после того, как предыдущая версия (1.0.1) была удалена разработчиками PyPI 28 мая 2024 года.
Согласно анализу, опубликованному Sonatype, вредоносный код встроен в пакет setup.py скрипт, позволяющий ему выполнять полезную нагрузку в кодировке Base64, которая отвечает за получение двоичного файла Windows с внешнего сервера.
"Полученный двоичный файл "Runtime.exe" затем запускается с помощью команд Windows PowerShell и VBScript в системе", - сказал исследователь безопасности Акс Шарма.
После установки двоичный файл обеспечивает сохраняемость и сбрасывает дополнительные полезные нагрузки, включая шпионское ПО и вредоносное ПО-краже, способное собирать данные из веб-браузеров и криптовалютных сервисов.
Sonatype заявила, что также идентифицировала недавно созданную учетную запись StackOverflow под названием "EstAYA G", отвечающую на запросы пользователей на платформе вопросов и ответов, предписывая им установить вредоносный пакет pytoileur в качестве предполагаемого решения их проблем.
"Хотя при оценке псевдонимных учетных записей пользователей на интернет-платформах без доступа к журналам сложно установить точную атрибуцию, недавний возраст обеих этих учетных записей пользователей и их единственная цель публикации и продвижения вредоносного пакета Python дают нам веские основания полагать, что они связаны с одним и тем же субъектом угрозы, стоящим за этой кампанией", - сказал Шарма в интервью Hacker News.
Разработка знаменует собой новую эскалацию в том смысле, что она злоупотребляет надежной платформой в качестве вектора распространения вредоносного ПО.
"Беспрецедентное открытое злоупотребление такой надежной платформой, использование ее в качестве питательной среды для вредоносных кампаний, является огромным предупреждающим знаком для разработчиков во всем мире", - говорится далее в заявлении Sonatype, опубликованном в Hacker News.
"Компрометация StackOverflow вызывает особую озабоченность, учитывая большое количество начинающих разработчиков, которые все еще учатся, задают вопросы и могут поддаться вредоносному совету".
Более тщательное изучение метаданных пакета и истории его авторства выявило совпадения с предыдущей кампанией с использованием поддельных пакетов Python, таких как Pystob и Pywool, которая была раскрыта Checkmarx в ноябре 2023 года.
Полученные результаты являются еще одним примером того, почему экосистемы с открытым исходным кодом продолжают быть магнитом для субъектов угроз, стремящихся скомпрометировать несколько целей одновременно с помощью таких похитителей информации, как Bladeroid и других вредоносных программ посредством так называемой атаки по цепочке поставок.
