Do PyPI wprowadzono 3 pakiety rozprzestrzeniające złośliwe oprogramowanie na systemy deweloperów
-
- 20.01.2023, godz. 08:32
Użytkownik o pseudonimie Lolip0p umieścił w repozytorium Python Package Index (PyPI) trzy nieuczciwe pakiety, które są przeznaczone do zrzucania złośliwego oprogramowania na zagrożone systemy deweloperskie.
Sprawę wykryła firma Fortinet w ubiegłym tygodniu. W raporcie napisano, że pakiety - nazwane colorslib (wersje 4.6.11 i 4.6.12), httpslib (wersje 4.6.9 i 4.6.11) oraz libhttps (wersja 4.6.12) - zostały umieszczone między 7 stycznia a 12 stycznia 2023 roku. Zostały już usunięte z PyPI, ale pobrano je wcześniej 550 razy. Moduły posiadają identyczne skrypty instalacyjne, które mają za zadanie wywoływać PowerShell i uruchamiać złośliwe binarki („Oxzy.exe”) hostowane na Dropboxie. Plik wykonywalny po uruchomieniu uruchamia pobranie kolejnego etapu, również binarnego o nazwie update.exe, który uruchamia się w folderze tymczasowym systemu Windows („%USER%AppData\Local\Temp\").
Te pakiety pobierają i uruchamiają złośliwe binarne programy wykonywalne.
Nie można bezrefleksyjnie sięgać do źródeł open-source’owych. Niedawno Fortinet odkrył dwa inne nieuczciwe pakiety o nazwach Shaderz i aioconsol, które posiadają podobne zdolności do zbierania i eksfiltracji poufnych informacji osobistych.
Zobacz również:
Autorzy
Anna Ładan Computerworld
Przez wiele lat redaktorka i kierowniczka projektów naukowych oraz na styku nauki i biznesu. Specjalizowała się w publikacjach m.in. z robotyki, automatyki i przetwarzania danych. Ma również doświadczenie w komunikacji i public relations. Główny obszar zainteresować to human-robot/AI interaction, robotyka, automatyka przemysłowa, fin-tech.
Więcej: Anna Ładan
