Отдавна не бяхме чували за зловреден софтуер, скрит в пакети на PyPI, но сега специалистите по киберсигурност съобщиха, че са открили почти дузина такива, които се крият в хранилището с отворен код Python Package Index (PyPI).
Изследователи в областта на киберсигурността от FortiGuard Labs на Fortinet са открили девет пакета, доставящи WhiteSnake Stealer. Те се наричат nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. WhiteSnake е информационен крадец за Windows, който може да работи със заобикаляне на антивирусните програми и комуникира със сървъра C2 чрез протокола Tor, обясняват изследователите.
Основната му функция е да краде информация от компрометираните крайни точки и да изпълнява различни команди. Информацията, която търси, е предимно данни от уеб браузъри, портфейли за криптовалути и добавки за браузъри, както и важни приложения като Discord, Signal, Telegram и други подобни.
В някои от пакетите беше забелязана и по-усъвършенствана версия на зловредния софтуер, която включва и мониторинг на клипборда и функция за презаписване. Тази функция е предназначена да подпомага кражбата на криптовалута, тъй като хората, които искат да изпратят своите токени от един адрес на друг, почти винаги ще копират и поставят адреса на получателя, вместо да го напишат. С този зловреден софтуер нападателите могат да заменят копирания адрес на портфейла с такъв, който им принадлежи, като накарат жертвата да изпрати средствата си на грешен адрес.
PyPI е едно от най-големите и най-популярни хранилища за пакети на Python в света. Като такова то е честа мишена на участниците в заплахи, които най-често правят две неща: или създават изцяло нов злонамерен пакет, или се занимават с typosquatting - създават пакет, подобен на легитимен, и го именуват почти по същия начин. По този начин разработчиците могат по погрешка да инсталират зловредния пакет.
Призоваваме разработчиците и ентусиастите да бъдат бдителни, когато използват PyPI и подобни услуги, и винаги да се уверяват, че изтеглят легитимен пакет. Те трябва да обръщат внимание на странни правописни грешки, непоследователни номера на изтеглянията и потребителски отзиви.
Снимка: Unsplash