Исследователи кибербезопасности совместно с ReversingLabs выявили 20 пакетов на платформе PyPI, маскирующихся под утилиты, связанные с обработкой времени, суммарно скачанных более чем 14 100 раз, целью которых являлась кража облачных токенов и другой чувствительной информации.
Первая группа включает пакеты snapshot-photo (2 448 загрузок), time-check-server (316 загрузок), time-check-server-get (178 загрузок), time-server-analysis (144 загрузки), time-server-analyzer (74 загрузки), time-server-test (155 загрузок) и time-service-checker (151 загрузка). Эти модули предназначались для передачи данных на инфраструктуру злоумышленников, используя обманную легитимность названий.
Вторая группа состоит из пакетов, предоставляющих функционал облачных клиентов для сервисов, таких как Alibaba Cloud, Amazon Web Services (AWS) и Tencent Cloud. К данной группе относятся: aclient-sdk (120 загрузок), acloud-client (5 496 загрузок), acloud-clients (198 загрузок), acloud-client-uses (294 загрузки), alicloud-client (622 загрузки), alicloud-client-sdk (206 загрузок), amzclients-sdk (100 загрузок), awscloud-clients-core (206 загрузок), credential-python-sdk (1 155 загрузок), enumer-iam (1 254 загрузок), tclients-sdk (173 загрузки), tcloud-python-sdks (98 загрузок) и tcloud-python-test (793 загрузки). Несмотря на внешне очевидное легитимное назначение, данные пакеты эксплуатировались для эксфильтрации облачных секретов.
Все вредоносные пакеты были удалены с платформы PyPI, что позволило прекратить дальнейшее распространение скрытого вредоносного кода среди пользователей и разработчиков.
Анализ показал связь между пакетами acloud-client, enumer-iam и tcloud-python-test и популярным GitHub-проектом accesskey_tools, имеющим 42 форка и 519 звезд. В проекте был зафиксирован коммит с упоминанием tcloud-python-test 8 ноября 2023 года, после чего статистика от отметила 793 загрузки данного пакета.
Специалисты Fortinet FortiGuard Labs ранее обнаружили тысячи подозрительных пакетов на платформах PyPI и npm, многие из которых содержали скрытые установочные скрипты. Эти скрипты могут автоматически загружать вредоносный код, устанавливать связь с внешними серверами, что способствует дальнейшей загрузке полезных нагрузок и организации командно-управляющих связей (C&C).
Эксперт Jenna Wang отметила: «Подозрительные URL в зависимостях пакетов являются важным индикатором потенциальной вредоносной активности. Такие ссылки могут инициировать загрузку дополнительных полезных нагрузок или устанавливать связь с серверами командования и контроля. В 974 пакетах подобные URL связаны с рисками утечки данных, загрузки дополнительного вредоносного ПО и другими вредоносными действиями.» Следует тщательно контролировать внешние URL-адреса в зависимостях для предотвращения подобных угроз.
Изображение носит иллюстративный характер
Первая группа включает пакеты snapshot-photo (2 448 загрузок), time-check-server (316 загрузок), time-check-server-get (178 загрузок), time-server-analysis (144 загрузки), time-server-analyzer (74 загрузки), time-server-test (155 загрузок) и time-service-checker (151 загрузка). Эти модули предназначались для передачи данных на инфраструктуру злоумышленников, используя обманную легитимность названий.
Вторая группа состоит из пакетов, предоставляющих функционал облачных клиентов для сервисов, таких как Alibaba Cloud, Amazon Web Services (AWS) и Tencent Cloud. К данной группе относятся: aclient-sdk (120 загрузок), acloud-client (5 496 загрузок), acloud-clients (198 загрузок), acloud-client-uses (294 загрузки), alicloud-client (622 загрузки), alicloud-client-sdk (206 загрузок), amzclients-sdk (100 загрузок), awscloud-clients-core (206 загрузок), credential-python-sdk (1 155 загрузок), enumer-iam (1 254 загрузок), tclients-sdk (173 загрузки), tcloud-python-sdks (98 загрузок) и tcloud-python-test (793 загрузки). Несмотря на внешне очевидное легитимное назначение, данные пакеты эксплуатировались для эксфильтрации облачных секретов.
Все вредоносные пакеты были удалены с платформы PyPI, что позволило прекратить дальнейшее распространение скрытого вредоносного кода среди пользователей и разработчиков.
Анализ показал связь между пакетами acloud-client, enumer-iam и tcloud-python-test и популярным GitHub-проектом accesskey_tools, имеющим 42 форка и 519 звезд. В проекте был зафиксирован коммит с упоминанием tcloud-python-test 8 ноября 2023 года, после чего статистика от отметила 793 загрузки данного пакета.
Специалисты Fortinet FortiGuard Labs ранее обнаружили тысячи подозрительных пакетов на платформах PyPI и npm, многие из которых содержали скрытые установочные скрипты. Эти скрипты могут автоматически загружать вредоносный код, устанавливать связь с внешними серверами, что способствует дальнейшей загрузке полезных нагрузок и организации командно-управляющих связей (C&C).
Эксперт Jenna Wang отметила: «Подозрительные URL в зависимостях пакетов являются важным индикатором потенциальной вредоносной активности. Такие ссылки могут инициировать загрузку дополнительных полезных нагрузок или устанавливать связь с серверами командования и контроля. В 974 пакетах подобные URL связаны с рисками утечки данных, загрузки дополнительного вредоносного ПО и другими вредоносными действиями.» Следует тщательно контролировать внешние URL-адреса в зависимостях для предотвращения подобных угроз.
