В течение почти полугода неизвестные злоумышленники размещали в репозитории Python Package Index (PyPI) вредоносные пакеты, заражавшие машины разработчиков малварью,  которая могла сохранять постоянство в системе, воровать конфиденциальные данные и получать доступ к криптовалютным кошелькам жертв.

27 пакетов, замаскированных под популярные библиотеки Python с помощью тайпсквоттинга, были загружены тысячами пользователей, говорится в новом отчете компании Checkmarx. Большая часть загрузок пришлась на США, Китай, Францию, Гонконг, Германию, Россию, Ирландию, Сингапур, Великобританию и Японию.

Схема атаки

«Характерной особенностью этой атаки было использование стеганографии для скрытия вредоносной полезной нагрузки в невинно выглядящем файле изображения, что повышало скрытность атаки», — пишут исследователи.

Среди вредоносных пакетов были: pyefflorer, pyminor, pyowler, pystallerer, pystob и pywool, последний из которых был создан 13 мая 2023 года.

Общей чертой всех пакетов являлось использование скрипта setup.py для включения ссылок на другие вредоносные пакеты (например, pystob и pywool), которые развертывали в системе жертвы VBScript для загрузки и выполнения файла с именем Runtime.exe, который обеспечивал  закрепление в системе.

Внутри бинарного файла находился скомпилированный файл, способный извлекать информацию из браузеров, криптовалютных кошельков и других приложений.

Сообщается, что Pystob и Pywool публиковались под видом инструментов для управления API, а затем использовали веб-хуки Discord и пытались закрепиться в системе, помещая VBS-файл в папку запуска Windows.

Была и альтернативная цепочка заражения, замеченная специалистами Checkmarx: вредоносный код скрывался в PNG-изображении (uwu.png), которое впоследствии декодировалось и запускалось для извлечения IP-адреса и UUID пораженной системы.

Полезная нагрузка внутри изображения

 

Декодированная полезная нагрузка

«Эта кампания служит еще одним ярким напоминанием о постоянных угрозах, существующих в современном цифровом пространстве, особенно в тех областях, где сотрудничество и открытый обмен кодом имеют основополагающее значение», — резюмируют аналитики Checkmarx.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии