Ssylka

Как злоумышленники используют поддельные Python-пакеты для кражи данных?

В марте 2022 года в репозитории PyPI был обнаружен вредоносный пакет "discordpydebug", который маскировался под утилиту, связанную с Discord. На самом деле пакет содержал троян удаленного доступа (RAT), способный похищать конфиденциальные данные пользователей.
Как злоумышленники используют поддельные Python-пакеты для кражи данных?
Изображение носит иллюстративный характер

Пакет был загружен 21 марта 2022 года и с тех пор не обновлялся, однако успел набрать более 11 574 загрузок. Примечательно, что даже после обнаружения вредоносного кода пакет все еще оставался доступным в открытом реестре PyPI.

Технический анализ показал, что вредоносное ПО устанавливает связь с внешним сервером "backstabprotection.jamesx123.repl[.]co". Функциональность трояна обширна: он может читать и записывать произвольные файлы на основе команд "readfile" или "writefile", выполнять команды оболочки, получать доступ к конфиденциальным данным (включая конфигурационные файлы, токены и учетные данные), изменять существующие файлы, загружать дополнительные вредоносные программы и похищать данные.

Особую опасность представляет метод обхода систем безопасности: вместо входящих соединений вредоносное ПО использует исходящие HTTP-запросы, что позволяет обходить большинство брандмауэров и инструментов мониторинга безопасности. Такой подход делает троян особенно эффективным в менее контролируемых средах разработки. Однако стоит отметить, что в коде не обнаружены механизмы обеспечения постоянства или повышения привилегий.

Команда исследователей Socket Research Team выявила более 45 пакетов npm, которые также выдают себя за легитимные библиотеки. Среди наиболее заметных тайпосквоттинговых (имитирующих названия популярных пакетов с небольшими изменениями в написании) пакетов были обнаружены:

  • beautifulsoup4 (имитация Python-библиотеки BeautifulSoup4)
  • apache-httpclient (имитация Java-библиотеки Apache HttpClient)
  • opentk (имитация.NET-библиотеки OpenTK)
  • seaborn (имитация Python-библиотеки Seaborn)

Все идентифицированные пакеты имеют общие характеристики: они используют одну и ту же инфраструктуру, содержат похожие обфусцированные полезные нагрузки и указывают на один и тот же IP-адрес. Несмотря на то, что пакеты зарегистрированы под разными именами сопровождающих, исследователи полагают, что за всеми этими вредоносными программами стоит один и тот же злоумышленник.

Данный случай подчеркивает важность тщательной проверки зависимостей при разработке программного обеспечения и необходимость использования инструментов безопасности, способных выявлять подозрительную активность в пакетах с открытым исходным кодом.


Новое на сайте

15733Как выжить при глобальной катастрофе: почему сообщество важнее капитала? 15732Марсианские "потёки краски": новые свидетельства схожести геологических... 15731Как ядерная энергетика становится ключом к развитию искусственного интеллекта? 15730Последняя попытка спастись: уникальная находка в доме древних римлян в Помпеях 15729Что скрывается в вашем дворе: ужасающая находка, заставившая интернет содрогнуться? 15728Древняя звезда раскрывает тайны эволюции космических объектов 15727Ньюкасл впервые примет церемонию вручения престижной премии Mercury Prize 15726Европол ликвидировал шесть сервисов DDoS-атак на заказ 15725Критические уязвимости в плагине OttoKit угрожают более 100 000 сайтов WordPress 15724Как злоумышленники могут получить полный доступ к системам через уязвимости в SysAid? 15723Как решить главную проблему SSE-платформ в защите корпоративных данных? 15722Как сохранить баланс: почему Белла Рэмси поддерживает гендерное разделение кинонаград? 15721Группировка Play Ransomware использует уязвимость нулевого дня Windows для атак 15720Как безопасно родить крупного ребенка: революционное исследование расширяет возможности...