Do PyPI wprowadzono 3 pakiety rozprzestrzeniające złośliwe oprogramowanie na systemy deweloperów

Użytkownik o pseudonimie Lolip0p umieścił w repozytorium Python Package Index (PyPI) trzy nieuczciwe pakiety, które są przeznaczone do zrzucania złośliwego oprogramowania na zagrożone systemy deweloperskie.

Gerd Altmann / Pixabay

Sprawę wykryła firma Fortinet w ubiegłym tygodniu. W raporcie napisano, że pakiety - nazwane colorslib (wersje 4.6.11 i 4.6.12), httpslib (wersje 4.6.9 i 4.6.11) oraz libhttps (wersja 4.6.12) - zostały umieszczone między 7 stycznia a 12 stycznia 2023 roku. Zostały już usunięte z PyPI, ale pobrano je wcześniej 550 razy. Moduły posiadają identyczne skrypty instalacyjne, które mają za zadanie wywoływać PowerShell i uruchamiać złośliwe binarki („Oxzy.exe”) hostowane na Dropboxie. Plik wykonywalny po uruchomieniu uruchamia pobranie kolejnego etapu, również binarnego o nazwie update.exe, który uruchamia się w folderze tymczasowym systemu Windows („%USER%AppData\Local\Temp\").

Te pakiety pobierają i uruchamiają złośliwe binarne programy wykonywalne.

Nie można bezrefleksyjnie sięgać do źródeł open-source’owych. Niedawno Fortinet odkrył dwa inne nieuczciwe pakiety o nazwach Shaderz i aioconsol, które posiadają podobne zdolności do zbierania i eksfiltracji poufnych informacji osobistych.

Zobacz również:

  • Północnokoreańscy hakerzy kradną na potęgę kryptowaluty
  • Przedświąteczna gorączka – przedświąteczne oszustwa
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200