Новый вредоносный пакет Python "shaderz"

security IOC

Команда передовых исследований Fortinet недавно обнаружила атаку 0-дня в пакете PyPI (Python Package Index) под названием "shaderz". Она была обнаружена 6 декабря 2022 года с помощью системы, которую Fortinet использует для мониторинга экосистем с открытым исходным кодом. Этот пакет Python был опубликован 2 декабря 2022 года, как показано в его официальном репозитории PyPI. Изначально подозрения были вызваны тем, что он имеет только одну опубликованную версию, 0.0.1, и не содержит четкого описания пакета, электронной почты автора или его исходной страницы.

Пакет включает вредоносный код в сценарий установки setup.py, который загружает и запускает исполняемый файл в процессе установки.

Особенно интересным элементом является URL, который требует более глубокого анализа: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe.

Как показано в записи VirusTotal ниже, URL загрузки включает следующий двоичный файл exe (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.

Хотя этот URL-адрес загрузки ранее не был обнаружен другими исследователями угроз, некоторые производители отмечают загружаемый исполняемый файл как вредоносный.

Загруженный исполняемый файл, похоже, представляет собой скрипт python, скомпилированный в исполняемый файл.

Indicators of Compromise

URLs

  • cdn.discordapp.com/attachments/1045000289708687390/1045159487079723058/stub.exe

SHA256

  • fd9f944fafb58faf783fdf4f8638d281a429b84cdb119756e6d7d92b31a079de
  • 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d
SEC-1275-1
Добавить комментарий