Команда FortiGuard Labs обнаружила атаку 0-day в пакетах PyPI (Python Package Index) от авторов вредоносного ПО 'Portugal' и 'Brazil', опубликовавших пакеты 'xhttpsp' и 'httpssp'. Эти два пакета были обнаружены 31 января 2023 года путем мониторинга экосистемы открытых исходных кодов. Оба они были опубликованы 27 января 2023 года.
С помощью простого копирования и вставки короткого кода авторы вредоносных программ могут легко распространять вредоносные пакеты для кражи или утечки конфиденциальных данных через такие платформы, как Discord и Telegram. Хорошим признаком вредоносного пакета является наличие большого количества обфускации. Эта техника довольно распространена среди авторов вредоносных программ, поэтому конечным пользователям Python стоит дважды проверить ее перед использованием новых пакетов.
Indicators of Compromise
URls
- http://54.237.36.60/inject/QrvxFGKvsSJ5E5bx
SHA256
- 19e9dbfe9df33f17664e780909054b48c62d3dd66e11f31f3a657d18ac4c752f
- 618c11e03328eb0cc47ac21964479901dfaaa8a038e4145e247374169d6528f9