В марте 2022 года в репозитории PyPI был обнаружен вредоносный пакет "discordpydebug", который маскировался под утилиту, связанную с Discord. На самом деле пакет содержал троян удаленного доступа (RAT), способный похищать конфиденциальные данные пользователей.
Пакет был загружен 21 марта 2022 года и с тех пор не обновлялся, однако успел набрать более 11 574 загрузок. Примечательно, что даже после обнаружения вредоносного кода пакет все еще оставался доступным в открытом реестре PyPI.
Технический анализ показал, что вредоносное ПО устанавливает связь с внешним сервером "backstabprotection.jamesx123.repl[.]co". Функциональность трояна обширна: он может читать и записывать произвольные файлы на основе команд "readfile" или "writefile", выполнять команды оболочки, получать доступ к конфиденциальным данным (включая конфигурационные файлы, токены и учетные данные), изменять существующие файлы, загружать дополнительные вредоносные программы и похищать данные.
Особую опасность представляет метод обхода систем безопасности: вместо входящих соединений вредоносное ПО использует исходящие HTTP-запросы, что позволяет обходить большинство брандмауэров и инструментов мониторинга безопасности. Такой подход делает троян особенно эффективным в менее контролируемых средах разработки. Однако стоит отметить, что в коде не обнаружены механизмы обеспечения постоянства или повышения привилегий.
Команда исследователей Socket Research Team выявила более 45 пакетов npm, которые также выдают себя за легитимные библиотеки. Среди наиболее заметных тайпосквоттинговых (имитирующих названия популярных пакетов с небольшими изменениями в написании) пакетов были обнаружены:
Все идентифицированные пакеты имеют общие характеристики: они используют одну и ту же инфраструктуру, содержат похожие обфусцированные полезные нагрузки и указывают на один и тот же IP-адрес. Несмотря на то, что пакеты зарегистрированы под разными именами сопровождающих, исследователи полагают, что за всеми этими вредоносными программами стоит один и тот же злоумышленник.
Данный случай подчеркивает важность тщательной проверки зависимостей при разработке программного обеспечения и необходимость использования инструментов безопасности, способных выявлять подозрительную активность в пакетах с открытым исходным кодом.
Изображение носит иллюстративный характер
Пакет был загружен 21 марта 2022 года и с тех пор не обновлялся, однако успел набрать более 11 574 загрузок. Примечательно, что даже после обнаружения вредоносного кода пакет все еще оставался доступным в открытом реестре PyPI.
Технический анализ показал, что вредоносное ПО устанавливает связь с внешним сервером "backstabprotection.jamesx123.repl[.]co". Функциональность трояна обширна: он может читать и записывать произвольные файлы на основе команд "readfile" или "writefile", выполнять команды оболочки, получать доступ к конфиденциальным данным (включая конфигурационные файлы, токены и учетные данные), изменять существующие файлы, загружать дополнительные вредоносные программы и похищать данные.
Особую опасность представляет метод обхода систем безопасности: вместо входящих соединений вредоносное ПО использует исходящие HTTP-запросы, что позволяет обходить большинство брандмауэров и инструментов мониторинга безопасности. Такой подход делает троян особенно эффективным в менее контролируемых средах разработки. Однако стоит отметить, что в коде не обнаружены механизмы обеспечения постоянства или повышения привилегий.
Команда исследователей Socket Research Team выявила более 45 пакетов npm, которые также выдают себя за легитимные библиотеки. Среди наиболее заметных тайпосквоттинговых (имитирующих названия популярных пакетов с небольшими изменениями в написании) пакетов были обнаружены:
- beautifulsoup4 (имитация Python-библиотеки BeautifulSoup4)
- apache-httpclient (имитация Java-библиотеки Apache HttpClient)
- opentk (имитация.NET-библиотеки OpenTK)
- seaborn (имитация Python-библиотеки Seaborn)
Все идентифицированные пакеты имеют общие характеристики: они используют одну и ту же инфраструктуру, содержат похожие обфусцированные полезные нагрузки и указывают на один и тот же IP-адрес. Несмотря на то, что пакеты зарегистрированы под разными именами сопровождающих, исследователи полагают, что за всеми этими вредоносными программами стоит один и тот же злоумышленник.
Данный случай подчеркивает важность тщательной проверки зависимостей при разработке программного обеспечения и необходимость использования инструментов безопасности, способных выявлять подозрительную активность в пакетах с открытым исходным кодом.
