Команда FortiGuard Labs обнаружила еще одну новую атаку 0-day в пакете PyPI (Python Package Index) под названием "web3-essential". Она была обнаружена 30 января 2023 года путем мониторинга экосистемы открытого исходного кода. Пакет был опубликован 26 января 2023 года, в тот же день, когда его автор, 'Trexon', присоединился к репозиторию. Учитывая частоту подобных случаев одновременного присоединения и публикации, может быть разумно принять меры предосторожности при загрузке пакетов, опубликованных недавно присоединившимися авторами.
Автор включил краткое описание проекта вместе с уникальным номером версии '1.0.4b0', как бы пытаясь избежать подозрений.
Пакет включает вредоносный код в сценарий установки setup.py, который загружает и запускает исполняемый файл в процессе установки.
Интересным элементом является URL-адрес:
hxxps://cdn[.]discordapp[.]com/attachments/1068100530498449468/1068239485613125702/ily[.]exe
Загруженный исполняемый файл, похоже, является скомпилированным исполняемым файлом Go.
Одним из подозрительных действий 'ily.exe' является создание файлов DB в папке '%USER%\AppData\Local\cloudflare-warp-cache\raw\'. Это может использоваться для записи конфиденциальных пользовательских данных и учетных данных.
Он использует пакет Go, 'dishooks', который является оберткой API веб-крючков Discord. В URL-адресе мы видим, что он может быть связан с вредоносной программой "Spidey Bot", которая известна тем, что крадет личную информацию через Discord.
Indicators of Compromise
URLs
- https://cdn.discordapp.com/attachments/1068100530498449468/1068239485613125702/ily.exe
- https://discordapp.com/api/webhooks/1068100542682902558/9JUsLnJZLyEkc_bGS85KTa5M1VWZ2J496v6Ruo7oUclFE08osfXNZL_OK5YDGOPYHLFy
MD5
ec94abd54e1339cca6d5aa9d5309679e
SHA1
- 35f083312354d05458843ba7d3595f80700f56e5
SHA256
- 43c89b9263f78ef870bf205e92f7912c8b2845d33391b46cd747d45a5632aea0