Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Сценарий, нацеленный на кражу паролей к SSH и ключей GPG, маскировался под легитимные Python-инструменты.
Два поддельных пакета, размещенных в репозитории Python Package Index (PyPI), содержали вредоносный сценарий для кражи данных с компьютера пользователя.
Авторы назвали свои фальшивки созвучно легитимным библиотекам, чтобы заставить авторов приложений включить зловред в состав продуктов или запустить его на своем устройстве. После обращения автора опасной находки модераторы хранилища удалили из него файлы, содержавшие криминальный код.
Один из троянизированных пакетов маскировался под распространенную библиотеку Jellyfish — преступники слегка изменили имя файла, заменив одну из латинских букв l заглавной i. Подделка содержала оригинальный код легитимной программы, предназначенной для фонетического сопоставления текстовых строк, и могла выполнять все заявленные функции Jellyfish. Как выяснили ИБ-аналитики, злоумышленники добавили в текст сценарий, который искал на устройстве ключи SSH и GPG, после чего отправлял их на сервер киберпреступников.
Как показал анализ зловреда, командный центр также получал список папок и перечень Python-проектов жертвы. Скорее всего, эта информация была нужна атакующим для сопоставления с украденными учетными данными. Зараженная библиотека пролежала в репозитории PyPI около года — файл был загружен в архив 11 декабря 2018-го.
Второй вредоносный пакет назывался python3-dateutil — по аналогии с легитимным расширением python-dateutil для библиотеки datetimes, предназначенной для выполнения операций с датами. Эта фальшивка не содержала прямых включений вредоносного кода, а просто через импорт загружала и выполняла модифицированный вариант Jellyfish.
Зловредное расширение было добавлено в хранилище 29 ноября этого года и почти сразу привлекло внимание пользователей репозитория. Очевидно, автор зловреда надеялся на более широкое распространение своей разработки, однако добился обратного эффекта. Участники PyPI-сообщества быстро обнаружили подделку и сообщили о ней администрации сервиса.
В 2017 году ИБ-специалисты из Словакии нашли в официальном хранилище Python-кодов десять скриптов, нацеленных на похищение данных с компьютера жертвы. Авторы программ также использовали тайпсквоттинг, маскируясь под легитимные приложения. Так, распространенный сценарий urllib3 имел криминального двойника urlib3, а имя библиотеки acquisition злоумышленники при клонировании видоизменили как acqusition.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |