Атака на цепочки поставок с помощью нового вредоносного пакета Python, "web3-essential"

Spyware IOC

Команда FortiGuard Labs обнаружила еще одну новую атаку 0-day в пакете PyPI (Python Package Index) под названием "web3-essential". Она была обнаружена 30 января 2023 года путем мониторинга экосистемы открытого исходного кода. Пакет был опубликован 26 января 2023 года, в тот же день, когда его автор, 'Trexon', присоединился к репозиторию. Учитывая частоту подобных случаев одновременного присоединения и публикации, может быть разумно принять меры предосторожности при загрузке пакетов, опубликованных недавно присоединившимися авторами.

Автор включил краткое описание проекта вместе с уникальным номером версии '1.0.4b0', как бы пытаясь избежать подозрений.

Пакет включает вредоносный код в сценарий установки setup.py, который загружает и запускает исполняемый файл в процессе установки.

Интересным элементом является URL-адрес:

hxxps://cdn[.]discordapp[.]com/attachments/1068100530498449468/1068239485613125702/ily[.]exe

Загруженный исполняемый файл, похоже, является скомпилированным исполняемым файлом Go.

Одним из подозрительных действий 'ily.exe' является создание файлов DB в папке '%USER%\AppData\Local\cloudflare-warp-cache\raw\'. Это может использоваться для записи конфиденциальных пользовательских данных и учетных данных.

Он использует пакет Go, 'dishooks', который является оберткой API веб-крючков Discord. В URL-адресе мы видим, что он может быть связан с вредоносной программой "Spidey Bot", которая известна тем, что крадет личную информацию через Discord.

Indicators of Compromise

URLs

  • https://cdn.discordapp.com/attachments/1068100530498449468/1068239485613125702/ily.exe
  • https://discordapp.com/api/webhooks/1068100542682902558/9JUsLnJZLyEkc_bGS85KTa5M1VWZ2J496v6Ruo7oUclFE08osfXNZL_OK5YDGOPYHLFy

MD5

ec94abd54e1339cca6d5aa9d5309679e

SHA1

  • 35f083312354d05458843ba7d3595f80700f56e5

SHA256

  • 43c89b9263f78ef870bf205e92f7912c8b2845d33391b46cd747d45a5632aea0
SEC-1275-1
Добавить комментарий