Обнаружен еще один случай проникновения вредоносных пакетов в PyPI. Сразу 10 пакетов были удалены из репозитория, так как могли воровать у разработчиков данные, включая пароли и токены API.

О проблеме сообщают исследователи из компании CheckPoint. По их словам, для распространения вредоносные пакеты традиционно полагались на тайпсквоттинг, то есть загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета.

В своем отчете эксперты рассказывают об обнаружении следующих вредоносных библиотек.

  • Ascii2text: загружает вредоносный скрипт, который собирает пароли, хранящиеся в браузерах, включая Google Chrome, Microsoft Edge, Brave, Opera и Yandex Browser.
  • Pyg-utils, Pymocks и PyProto2: нацелены на кражу учетных данных от AWS и очень похожи на другой набор малвари, обнаруженный Sonatype в июне. Первый пакет даже подключается к тому же домену (pygrata.com), а два других используют pymocks.com.
  • Test-async и Zlibsrc: загружают и выполняют вредоносный код из внешнего источника во время установки.
  • Free-net-vpn, Free-net-vpn2 и WINRPCexploit: похищают учетные данные пользователя и переменные среды.
  • Browserdiv: ворует учетные данные и другую информацию, сохраненную в папке локального хранилища браузера. Использует вебхуки Discord для кражи данных.
Фейки настоящая библиотека

Исследователям неизвестно, сколько именно раз были загружены эти вредоносные пакеты, но они пишут, речь идет, как минимум, о сотнях скачиваний.

Хотя в настоящее время малварь уже удалили из PyPI, разработчики, загрузившие эти пакеты, все еще могут подвергаться риску. Исследователи рекомендуют пострадавшим считать свои машины полностью скомпрометированным и принять соответствующие меры для «очистки» системы.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии