В течение почти полугода неизвестные злоумышленники размещали в репозитории Python Package Index (PyPI) вредоносные пакеты, заражавшие машины разработчиков малварью, которая могла сохранять постоянство в системе, воровать конфиденциальные данные и получать доступ к криптовалютным кошелькам жертв.
27 пакетов, замаскированных под популярные библиотеки Python с помощью тайпсквоттинга, были загружены тысячами пользователей, говорится в новом отчете компании Checkmarx. Большая часть загрузок пришлась на США, Китай, Францию, Гонконг, Германию, Россию, Ирландию, Сингапур, Великобританию и Японию.
Схема атаки
Среди вредоносных пакетов были: pyefflorer, pyminor, pyowler, pystallerer, pystob и pywool, последний из которых был создан 13 мая 2023 года.
Общей чертой всех пакетов являлось использование скрипта setup.py для включения ссылок на другие вредоносные пакеты (например, pystob и pywool), которые развертывали в системе жертвы VBScript для загрузки и выполнения файла с именем Runtime.exe, который обеспечивал закрепление в системе.
Внутри бинарного файла находился скомпилированный файл, способный извлекать информацию из браузеров, криптовалютных кошельков и других приложений.
Сообщается, что Pystob и Pywool публиковались под видом инструментов для управления API, а затем использовали веб-хуки Discord и пытались закрепиться в системе, помещая VBS-файл в папку запуска Windows.
Была и альтернативная цепочка заражения, замеченная специалистами Checkmarx: вредоносный код скрывался в PNG-изображении (uwu.png), которое впоследствии декодировалось и запускалось для извлечения IP-адреса и UUID пораженной системы.
Полезная нагрузка внутри изображения
Декодированная полезная нагрузка
27 пакетов, замаскированных под популярные библиотеки Python с помощью тайпсквоттинга, были загружены тысячами пользователей, говорится в новом отчете компании Checkmarx. Большая часть загрузок пришлась на США, Китай, Францию, Гонконг, Германию, Россию, Ирландию, Сингапур, Великобританию и Японию.
Схема атаки
Среди вредоносных пакетов были: pyefflorer, pyminor, pyowler, pystallerer, pystob и pywool, последний из которых был создан 13 мая 2023 года.
Общей чертой всех пакетов являлось использование скрипта setup.py для включения ссылок на другие вредоносные пакеты (например, pystob и pywool), которые развертывали в системе жертвы VBScript для загрузки и выполнения файла с именем Runtime.exe, который обеспечивал закрепление в системе.
Внутри бинарного файла находился скомпилированный файл, способный извлекать информацию из браузеров, криптовалютных кошельков и других приложений.
Сообщается, что Pystob и Pywool публиковались под видом инструментов для управления API, а затем использовали веб-хуки Discord и пытались закрепиться в системе, помещая VBS-файл в папку запуска Windows.
Была и альтернативная цепочка заражения, замеченная специалистами Checkmarx: вредоносный код скрывался в PNG-изображении (uwu.png), которое впоследствии декодировалось и запускалось для извлечения IP-адреса и UUID пораженной системы.
Полезная нагрузка внутри изображения
Декодированная полезная нагрузка
