29 пакетов PyPI распространяют инфостилеры

Чт 3 Ноябрь 2022 11:03

Исследователи компании Phylum обнаружили в реестре PyPI 29 пакетов Python с запутанным кодом, которые имитируют популярные библиотеки, но вместо этого сбрасывают инфостилер W4SP на зараженные машины, а другие пакеты используют вредоносное ПО GyruzPIP, предположительно созданное только для «образовательных целей».

Пакеты содержат намеренные опечатки в названии (Typosquatting), чтобы быть похожими на известные библиотеки Python в надежде, что разработчики, пытающиеся найти настоящую библиотеку, сделают орфографическую ошибку и непреднамеренно загрузят одну из вредоносных.

Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в исправную кодовую базу пакета.

Один из пакетов «typesutil», доставляющий инфостилер W4SP

Преимущество от копирования настоящего пакета заключается в том, целевая страница PyPI для пакета создается из «setup.py» и «README.md», поэтому киберпреступники сразу получают реальную целевую страницу с рабочими ссылками. Если пользователь не проверит страницу внимательно, он может подумать, что это легитимный пакет.

Исследователи Phylum заявили, что все пакеты были загружены более 5700 раз.

По словам экспертов, во время исследования им пришлось анализировать запутанный код, охватывающий более 71 000 символов.

Обфусцированный код Python

Ранее стало известно о вредоносной кампании с использованием сети из более 200 доменов , имитирующих 27 брендов, которые принуждают пользователей загружать вредоносные программы для Windows и Android. Домены в этой кампании создавались с намеренными ошибками в названии при помощи техники «typosquatting».

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 22 часа 49 минут 13 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.