Недавно были обнаружены и удалены из репозитория PyPI 3 вредоносных пакета, содержащих похитители информации.
Исследователи Fortinet обнаружили 3 пакета, загруженных между 0 и 3 января пользователем по имени «LollipXNUMXp». Эти XNUMX называются «colorslib», «httpslib» и «libhttps», и если вы использовали их раньше, обязательно удалите их немедленно.
Как правило, киберпреступники, стремящиеся скомпрометировать конечные точки разработчиков Python через PyPI, будут пытаться допустить типографские ошибки, давая своим вредоносным пакетам имена, практически идентичные именам, принадлежащим законным проектам. Таким образом, безответственные или спешащие разработчики могут по незнанию использовать вредоносные вместо чистых.
Кража данных браузера
Эта кампания, однако, отличается, так как эти 3 имеют уникальные имена. Чтобы завоевать доверие, злоумышленник написал полные описания пакетов. Хотя общее количество загрузок для этих трех устройств едва превысило пятьсот, это все равно может быть пугающим, если вы являетесь частью более крупной цепочки поставок, говорится в сообщении.
Во всех трех случаях злоумышленники распространяют файл с именем «setup.py», который после запуска PowerShell пытается загрузить исполняемый файл «Oxyz.exe» из Интернета. По мнению ученых, этот исполняемый файл является вредоносным и крадет информацию из браузера. Мы не знаем точно, какую информацию пытается украсть вредоносное ПО (откроется в новой вкладке), но похитители информации обычно ищут сохраненные пароли, данные кредитной карты, кошельки, криптовалюты и другую ценную информацию.
В отчете также установлено, что уровень обнаружения этих исполняемых файлов несколько низок (до XNUMX%), а это означает, что злоумышленники могут успешно перенаправлять данные даже с конечных точек, защищенных антивирусными решениями.
Хотя вредоносные пакеты уже удалены из PyPI, ничто не мешает злоумышленникам просто загрузить их под другим именем и с другой учетной записи. При этом лучший способ защититься от такого рода атак на цепочку поставок — быть особенно осторожным при загрузке строительных блоков кода из репозиториев.
Через: BleepingComputer (откроется в новой вкладке)