PyPI отключил три вредоносных пакета с почти 15 тыс. скачиваний

Пн 13 Декабрь 2021 13:17

Администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы. Вредоносные пакеты были скачаны более 10 тыс. раз.

О вредоносных пакетах сообщил специалист Эндрю Скотт (Andrew Scott) из компании Palo Alto Networks. Пакет dpp-client появился на PyPI примерно 13 февраля 2021 года, dpp-client1234 — 14 февраля, а aws-login0tool — 1 декабря.

«Я обнаружил их в основном при проверке вручную файлов setup.py, которые соответствовали различным подозрительным строкам и шаблонам регулярных выражений. Например, большинство случаев exec были безобидными, но это рискованный метод в использовании, который обычно используется злоумышленниками, создающими вредоносные пакеты».

Пакет aws-login0tool предназначен для компьютеров под управлением Windows и загружает вредоносный 64-разрядный исполняемый файл normal.exe c домена tryg[.]ga. Вредоносный исполняемый файл был идентифицирован как троян 38% антивирусных ядер на VirusTotal.

Напротив, dpp-client и dpp-client1234 нацелены на системы под управлением Linux. Пакеты анализируют переменные среды, список каталогов и отправляют данную информацию на домен pt.traktrain[.]com.

Пакеты пытаются взломать несколько избранных каталогов, включая /mnt/mesos, указывая на заинтересованность разработчика в файлах, связанных с продуктом для управления кластерами с открытым исходным кодом Apache Mesos.

Примечательно, страница PyPI для aws-login0tool содержала явное предупреждение, призывающее не скачивать пакет: «Please don't use this... It does bad things... Oh, dear :(». Точно так же страницы проектов для пакетов dpp-client и dpp-client1234 содержали в своем описании простое ключевое слово «test».

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 307 дней 14 часов 30 минут 59 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.