Новый набор вредоносных пакетов Python пробрался в репозиторий Python Package Index (PyPI) с конечной целью кражи конфиденциальной информации из скомпрометированных систем разработчиков.
Пакеты маскируются под, казалось бы, безобидные инструменты обфускации, но содержат вредоносное ПО под названием BlazeStealer, говорится в отчете Checkmarx, опубликованном в Hacker News.
"[BlazeStealer] извлекает дополнительный вредоносный скрипт из внешнего источника, активируя бота Discord, который дает злоумышленникам полный контроль над компьютером жертвы", - сказал исследователь безопасности Иегуда Гелб.
Кампания, начавшаяся в январе 2023 года, включает в себя в общей сложности восемь пакетов с именами Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse и pyobfgood, последний из которых был опубликован в октябре.
Эти модули поставляются с setup.py и init.py файлами, предназначенными для извлечения скрипта Python, размещенного на transfer[.]sh, который запускается немедленно после их установки.
Вредоносная программа под названием BlazeStealer запускает Discord-бота и позволяет субъекту угрозы собирать широкий спектр информации, включая пароли от веб-браузеров и скриншоты, выполнять произвольные команды, шифровать файлы и деактивировать антивирус Microsoft Defender на зараженном хосте.
Более того, она может сделать компьютер непригодным для использования, увеличив загрузку процессора, вставив пакетный скрипт Windows в каталог автозагрузки для выключения компьютера и даже вызвав ошибку "синий экран смерти" (BSoD).
"Само собой разумеется, что разработчики, занимающиеся запутыванием кода, скорее всего, имеют дело с ценной и конфиденциальной информацией, и поэтому для хакера это означает цель, к которой стоит стремиться", - отметил Гелб.
Большинство загрузок, связанных с мошенническими пакетами, поступило из США, за которыми следуют Китай, Россия, Ирландия, Гонконг, Хорватия, Франция и Испания. В совокупности они были загружены 2438 раз, прежде чем были удалены.
"Домен с открытым исходным кодом остается благодатной почвой для инноваций, но он требует осторожности", - сказал Гелб. "Разработчики должны сохранять бдительность и проверять пакеты перед использованием".
Пакеты маскируются под, казалось бы, безобидные инструменты обфускации, но содержат вредоносное ПО под названием BlazeStealer, говорится в отчете Checkmarx, опубликованном в Hacker News.
"[BlazeStealer] извлекает дополнительный вредоносный скрипт из внешнего источника, активируя бота Discord, который дает злоумышленникам полный контроль над компьютером жертвы", - сказал исследователь безопасности Иегуда Гелб.
Кампания, начавшаяся в январе 2023 года, включает в себя в общей сложности восемь пакетов с именами Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse и pyobfgood, последний из которых был опубликован в октябре.
Эти модули поставляются с setup.py и init.py файлами, предназначенными для извлечения скрипта Python, размещенного на transfer[.]sh, который запускается немедленно после их установки.
Вредоносная программа под названием BlazeStealer запускает Discord-бота и позволяет субъекту угрозы собирать широкий спектр информации, включая пароли от веб-браузеров и скриншоты, выполнять произвольные команды, шифровать файлы и деактивировать антивирус Microsoft Defender на зараженном хосте.
![Вредоносные пакеты Python Вредоносные пакеты Python](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeFUI67wek6lfJ8M4VSqEhOr_mU8veAWAPEkNaXU7ofjMOloCNG7Su5E4600s0S-RLHnPtOeWmmAD8r4rrFdeJgDVqymoy-33kyD4gxRgJIj5gZSRwkbzy3K1EGuEKfB2c4VnpkoCRjdKHBC_zjty2yNWd54Ul_hfZmBtSf3At7Ziae10ASyNeKdSnPkcy/s728-rw-ft-e30/python.jpg)
Более того, она может сделать компьютер непригодным для использования, увеличив загрузку процессора, вставив пакетный скрипт Windows в каталог автозагрузки для выключения компьютера и даже вызвав ошибку "синий экран смерти" (BSoD).
"Само собой разумеется, что разработчики, занимающиеся запутыванием кода, скорее всего, имеют дело с ценной и конфиденциальной информацией, и поэтому для хакера это означает цель, к которой стоит стремиться", - отметил Гелб.
Большинство загрузок, связанных с мошенническими пакетами, поступило из США, за которыми следуют Китай, Россия, Ирландия, Гонконг, Хорватия, Франция и Испания. В совокупности они были загружены 2438 раз, прежде чем были удалены.
"Домен с открытым исходным кодом остается благодатной почвой для инноваций, но он требует осторожности", - сказал Гелб. "Разработчики должны сохранять бдительность и проверять пакеты перед использованием".