Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышленников).
По данным специалистов DevOps JFrog, который обнаружили этот набор вредоносных библиотек, в общей сложности пакеты были загружены и установлены более 30 000 раз.
Почти все библиотеки были разработаны разными авторами, так как каждая из них демонстрировала разное вредоносное поведение и по-своему извлекала данные с зараженных машин:
- Importantpackage (загружен 6305 раз) и important-package (загружен 12 897 раз): скрытый connectback-шелл для psec.forward.io.global.prod.fastly.net, использовавший клиент trevorc2;
- pptest (загружен 10 001 раз): использовал DNS для отправки hostname+'|'+os.getcwd()+'|'+str(self.get_wan_ip())+'|'+local_ip_str;
- ipboards (загружен 946 раз): dependency confusion, отправлял данные пользователя (username, hostname) через DNS-тунеллирование на b0a0374cd1cb4305002e.d.requestbin.net;
- owlmoon (загружен 3285 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR;
- DiscordSafety (загружен 557 раз): троян, похищавший токены Discord, токены отправлялись на https://tornadodomain.000webhostapp.com/stlr.php?token=;
- Trrfab (загружен 287 раз): dependency confusion, отправлял данные пользователя (id, hostname, а также /etc/passwd, /etc/hosts и /home) на yxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.net;
- 10Cent10 (загружен 490 раз) и 10Cent11 (загружен 490 раз): connectback-шелл с жестко закодированным адресом 104.248.19.57;
- yandex-yt (загружен 4183 раз): печатает pwned-сообщения и указывает на вероятно вредоносный домен на https://nda.ya.ru/t/iHLfdCYw3jCVQZ;
- yiffparty (загружен 1859 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR.
Таким образом, 10 из 11 пакетов являлись откровенно вредоносными, тогда как библиотека yandex-yt могла быть неким тестом или шуткой, хотя тоже могла превратиться в канал доставки малвари.
Также исследователи подчеркивают, что два пакета злоупотребляли относительно новой техникой dependency confusion (путаница зависимостей). То есть злоумышленники регистрировали пакеты с именами, которые могли использоваться внутри закрытых корпоративных сетей, надеясь, что их пакет будет задействован после удаления корпоративного пакета (если дерево зависимостей не обновлялось).