SOS :: Security Operation Space
18 сентября, пятница, 00:00
|
Hot News:

Из репозитория PyPI удалили два вредоносных пакета

06 декабря 2019 г., пятница, 04:28

Сценарий, нацеленный на кражу паролей к SSH и ключей GPG, маскировался под легитимные Python-инструменты.

Два поддельных пакета, размещенных в репозитории Python Package Index (PyPI), содержали вредоносный сценарий для кражи данных с компьютера пользователя.

Авторы назвали свои фальшивки созвучно легитимным библиотекам, чтобы заставить авторов приложений включить зловред в состав продуктов или запустить его на своем устройстве. После обращения автора опасной находки модераторы хранилища удалили из него файлы, содержавшие криминальный код.

Вредоносные Python-инструменты выдавали себя за легитимные разработки

Один из троянизированных пакетов маскировался под распространенную библиотеку Jellyfish — преступники слегка изменили имя файла, заменив одну из латинских букв l заглавной i. Подделка содержала оригинальный код легитимной программы, предназначенной для фонетического сопоставления текстовых строк, и могла выполнять все заявленные функции Jellyfish. Как выяснили ИБ-аналитики, злоумышленники добавили в текст сценарий, который искал на устройстве ключи SSH и GPG, после чего отправлял их на сервер киберпреступников.

Как показал анализ зловреда, командный центр также получал список папок и перечень Python-проектов жертвы. Скорее всего, эта информация была нужна атакующим для сопоставления с украденными учетными данными. Зараженная библиотека пролежала в репозитории PyPI около года — файл был загружен в архив 11 декабря 2018-го.

Второй вредоносный пакет назывался python3-dateutil — по аналогии с легитимным расширением python-dateutil для библиотеки datetimes, предназначенной для выполнения операций с датами. Эта фальшивка не содержала прямых включений вредоносного кода, а просто через импорт загружала и выполняла модифицированный вариант Jellyfish.

Зловредное расширение было добавлено в хранилище 29 ноября этого года и почти сразу привлекло внимание пользователей репозитория. Очевидно, автор зловреда надеялся на более широкое распространение своей разработки, однако добился обратного эффекта. Участники PyPI-сообщества быстро обнаружили подделку и сообщили о ней администрации сервиса.

В 2017 году ИБ-специалисты из Словакии нашли в официальном хранилище Python-кодов десять скриптов, нацеленных на похищение данных с компьютера жертвы. Авторы программ также использовали тайпсквоттинг, маскируясь под легитимные приложения. Так, распространенный сценарий urllib3 имел криминального двойника urlib3, а имя библиотеки acquisition злоумышленники при клонировании видоизменили как acqusition.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.348
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.