Ssylka

Как злоумышленники используют поддельные Python-пакеты для кражи данных?

В марте 2022 года в репозитории PyPI был обнаружен вредоносный пакет "discordpydebug", который маскировался под утилиту, связанную с Discord. На самом деле пакет содержал троян удаленного доступа (RAT), способный похищать конфиденциальные данные пользователей.
Как злоумышленники используют поддельные Python-пакеты для кражи данных?
Изображение носит иллюстративный характер

Пакет был загружен 21 марта 2022 года и с тех пор не обновлялся, однако успел набрать более 11 574 загрузок. Примечательно, что даже после обнаружения вредоносного кода пакет все еще оставался доступным в открытом реестре PyPI.

Технический анализ показал, что вредоносное ПО устанавливает связь с внешним сервером "backstabprotection.jamesx123.repl[.]co". Функциональность трояна обширна: он может читать и записывать произвольные файлы на основе команд "readfile" или "writefile", выполнять команды оболочки, получать доступ к конфиденциальным данным (включая конфигурационные файлы, токены и учетные данные), изменять существующие файлы, загружать дополнительные вредоносные программы и похищать данные.

Особую опасность представляет метод обхода систем безопасности: вместо входящих соединений вредоносное ПО использует исходящие HTTP-запросы, что позволяет обходить большинство брандмауэров и инструментов мониторинга безопасности. Такой подход делает троян особенно эффективным в менее контролируемых средах разработки. Однако стоит отметить, что в коде не обнаружены механизмы обеспечения постоянства или повышения привилегий.

Команда исследователей Socket Research Team выявила более 45 пакетов npm, которые также выдают себя за легитимные библиотеки. Среди наиболее заметных тайпосквоттинговых (имитирующих названия популярных пакетов с небольшими изменениями в написании) пакетов были обнаружены:

  • beautifulsoup4 (имитация Python-библиотеки BeautifulSoup4)
  • apache-httpclient (имитация Java-библиотеки Apache HttpClient)
  • opentk (имитация.NET-библиотеки OpenTK)
  • seaborn (имитация Python-библиотеки Seaborn)

Все идентифицированные пакеты имеют общие характеристики: они используют одну и ту же инфраструктуру, содержат похожие обфусцированные полезные нагрузки и указывают на один и тот же IP-адрес. Несмотря на то, что пакеты зарегистрированы под разными именами сопровождающих, исследователи полагают, что за всеми этими вредоносными программами стоит один и тот же злоумышленник.

Данный случай подчеркивает важность тщательной проверки зависимостей при разработке программного обеспечения и необходимость использования инструментов безопасности, способных выявлять подозрительную активность в пакетах с открытым исходным кодом.


Новое на сайте

18293Почему для исправления «техношеи» нужно укреплять мышцы, а не растягивать их? 18292Как новорожденная звезда подала сигнал из эпицентра мощнейшего взрыва? 18291Нотный рецепт: как наука превращает музыку в обезболивающее 18290Что превращает кофейное зерно в идеальный напиток? 18289Как пробуждение древних микробов и тайны черных дыр меняют наше будущее? 18288Как 3500-летняя крепость в Синае раскрывает секреты египетской военной мощи? 18287Китайская кибергруппа Silver Fox расширяет охоту на Японию и Малайзию 18286Набор инструментов Kobalt на 297 предметов в Lowe's всего за $99 18285Анатомия вирусного успеха дубайского шоколада 18284Почему лемуры Мадагаскара нарушают общепринятые законы эволюции? 18283Капля крови против рака: новая эра диагностики онкологии 18282Как северокорейские хакеры создают универсальное кибероружие из двух вредоносных программ? 18281Как пугало проиграло войну с птицами и стало культурным символом 18280Таблетка-принтер для заживления тканей изнутри 18279Наследие кометы галлея: как увидеть метеорный поток Ориониды