Обнаружен еще один случай проникновения вредоносных пакетов в PyPI. Сразу 10 пакетов были удалены из репозитория, так как могли воровать у разработчиков данные, включая пароли и токены API.
О проблеме сообщают исследователи из компании CheckPoint. По их словам, для распространения вредоносные пакеты традиционно полагались на тайпсквоттинг, то есть загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета.
В своем отчете эксперты рассказывают об обнаружении следующих вредоносных библиотек.
- Ascii2text: загружает вредоносный скрипт, который собирает пароли, хранящиеся в браузерах, включая Google Chrome, Microsoft Edge, Brave, Opera и Yandex Browser.
- Pyg-utils, Pymocks и PyProto2: нацелены на кражу учетных данных от AWS и очень похожи на другой набор малвари, обнаруженный Sonatype в июне. Первый пакет даже подключается к тому же домену (pygrata.com), а два других используют pymocks.com.
- Test-async и Zlibsrc: загружают и выполняют вредоносный код из внешнего источника во время установки.
- Free-net-vpn, Free-net-vpn2 и WINRPCexploit: похищают учетные данные пользователя и переменные среды.
- Browserdiv: ворует учетные данные и другую информацию, сохраненную в папке локального хранилища браузера. Использует вебхуки Discord для кражи данных.
Исследователям неизвестно, сколько именно раз были загружены эти вредоносные пакеты, но они пишут, речь идет, как минимум, о сотнях скачиваний.
Хотя в настоящее время малварь уже удалили из PyPI, разработчики, загрузившие эти пакеты, все еще могут подвергаться риску. Исследователи рекомендуют пострадавшим считать свои машины полностью скомпрометированным и принять соответствующие меры для «очистки» системы.
