aioconsol PyPI IOCs

security IOC

FortiGuard Labs обнаружила еще одну атаку 0-day, встроенную в пакет PyPI (Python Package Index). Эта атака называется "aioconsol". Она была обнаружена 9 декабря 2022 года путем мониторинга экосистемы открытого исходного кода. Этот пакет Python был опубликован 6 декабря 2022 года, как показано в его официальном репозитории PyPI. Как видно, все три версии этой вредоносной программы были опубликованы в один и тот же день. Как и атака нулевого дня PyPI "shaderz", которую Fortinet обнаружили и опубликовали на прошлой неделе, этот вредоносный пакет не содержит четкого описания своего проекта или исходной страницы.

Версия 2.0 пакета включает вредоносный код в сценарий установки setup.py, который записывает то, что кажется двоичным файлом, в файл под названием "test.exe" и выполняет его как часть установки.

Это уже вторая вредоносная атака нулевого дня на цепочку поставок Python Package Index (PyPI), которую Fortinet обнаружили менее чем за неделю. Эта техника часто используется, поскольку авторы вредоносных программ могут поместить целый двоичный исполняемый файл внутри простого скрипта на языке python. Это может иметь серьезные последствия, потенциально повреждая систему и подвергая пользователей уязвимостям. Частным лицам и организациям следует остерегаться установки пакетов python в свободном доступе, поскольку они могут содержать вредоносное ПО.

Indicators of Compromise

IPv4

  • 104.20.67.143
  • 104.20.68.143
  • 172.67.34.170
  • 185.106.92.188

SHA256

  • 52e6efbbfb1fdeb976e2464c542bc17747d213d67f28dff4d7df0879df23fd7e
  • 8124cec491e0249bc4a9f3f9d3755201b0e8c28068ce8c4b528217dbb94afd13
SEC-1275-1
Добавить комментарий