Команда передовых исследований Fortinet недавно обнаружила атаку 0-дня в пакете PyPI (Python Package Index) под названием "shaderz". Она была обнаружена 6 декабря 2022 года с помощью системы, которую Fortinet использует для мониторинга экосистем с открытым исходным кодом. Этот пакет Python был опубликован 2 декабря 2022 года, как показано в его официальном репозитории PyPI. Изначально подозрения были вызваны тем, что он имеет только одну опубликованную версию, 0.0.1, и не содержит четкого описания пакета, электронной почты автора или его исходной страницы.
Пакет включает вредоносный код в сценарий установки setup.py, который загружает и запускает исполняемый файл в процессе установки.
Особенно интересным элементом является URL, который требует более глубокого анализа: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe.
Как показано в записи VirusTotal ниже, URL загрузки включает следующий двоичный файл exe (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.
Хотя этот URL-адрес загрузки ранее не был обнаружен другими исследователями угроз, некоторые производители отмечают загружаемый исполняемый файл как вредоносный.
Загруженный исполняемый файл, похоже, представляет собой скрипт python, скомпилированный в исполняемый файл.
Indicators of Compromise
URLs
- cdn.discordapp.com/attachments/1045000289708687390/1045159487079723058/stub.exe
SHA256
- fd9f944fafb58faf783fdf4f8638d281a429b84cdb119756e6d7d92b31a079de
- 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d