Аналитики из компании Checkmarx обнаружили новую порцию малвари в репозитории PyPi. На этот раз вредоносные пакеты оказались не совсем обычными: они не воруют учтенные данные или переменные среды, но атакуют серверы Counter-Strike.
Исследователи пишут, что нашли 12 вредоносных пакетов, загруженных в PyPi пользователем devfather777. Для их распространения использовался тайпсквоттинг, то есть пакеты загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета (так как разработчики обычно загружают пакеты через терминал, опечатки встречаются часто). Например, Gesnim вместо Gensim или TensorFolw вместо TensorFlow.
Полный список вредоносных библиотек выглядит следующим образом:
• Gesnim;
• Kears;
• TensorFolw;
• Seabron;
• tqmd;
• lxlm;
• mokc;
• ipaddres;
• ipdress;
• Fflsk;
• douctils;
• inda.
После загрузки все пакеты действовали одинаково: встроенный в setup.py код запускался, чтобы проверить, является ли хост Windows-системой, и если ответ был положительным, он загружал пейлоад test.exe с GitHub. Отмечается, что только 11 из 69 антивирусных движков на VirusTotal отмечают этот файл как вредоносный, потому как это относительно новая и незаметная малварь, написанная на C++.
Затем вредонос устанавливается и закрепляется в системе, прописываясь в автозагрузку, а также внедряет общесистемный root-сертификат с истекшим сроком действия. Завершив подготовку, малварь подключается к жестко заданному URL-адресу, чтобы получить конфигурацию. Если подключиться не удается с трех попыток, вредонос пытается получить ответы на HTTP-запросы, отправленные на DGA-адреса.
Исследователи наблюдали, что после получения конфигурации малварь превращала зараженный хост в DDoS-бота, который начал атаковать российский сервер Counter-Strike 1.6. Похоже, цель оператора этих пакетов заключалась в том, чтобы вывести из строя чей-то сервер Counter-Strike, заразив достаточное количество устройств, и перегрузив сервер возросшим потоком трафика.
В настоящее время GitHub-репозиторий, который использовался для размещения вредоносного ПО, уже отключен, но эксперты предупреждают, что злоумышленник может возобновить свою кампанию, попросту злоупотребив другим файлообменником.