Do PyPI wprowadzono 3 pakiety rozprzestrzeniające złośliwe oprogramowanie na systemy deweloperów
- 20.01.2023, godz. 08:32
Użytkownik o pseudonimie Lolip0p umieścił w repozytorium Python Package Index (PyPI) trzy nieuczciwe pakiety, które są przeznaczone do zrzucania złośliwego oprogramowania na zagrożone systemy deweloperskie.
Sprawę wykryła firma Fortinet w ubiegłym tygodniu. W raporcie napisano, że pakiety - nazwane colorslib (wersje 4.6.11 i 4.6.12), httpslib (wersje 4.6.9 i 4.6.11) oraz libhttps (wersja 4.6.12) - zostały umieszczone między 7 stycznia a 12 stycznia 2023 roku. Zostały już usunięte z PyPI, ale pobrano je wcześniej 550 razy. Moduły posiadają identyczne skrypty instalacyjne, które mają za zadanie wywoływać PowerShell i uruchamiać złośliwe binarki („Oxzy.exe”) hostowane na Dropboxie. Plik wykonywalny po uruchomieniu uruchamia pobranie kolejnego etapu, również binarnego o nazwie update.exe, który uruchamia się w folderze tymczasowym systemu Windows („%USER%AppData\Local\Temp\").
Te pakiety pobierają i uruchamiają złośliwe binarne programy wykonywalne.
Nie można bezrefleksyjnie sięgać do źródeł open-source’owych. Niedawno Fortinet odkrył dwa inne nieuczciwe pakiety o nazwach Shaderz i aioconsol, które posiadają podobne zdolności do zbierania i eksfiltracji poufnych informacji osobistych.
Zobacz również: