Cамозваные HTTP-библиотеки скрываются на PyPI

security IOC

Исследователи ReversingLabs обнаружили в репозитории PyPI более трех десятков вредоносных пакетов, имитирующих популярные библиотеки HTTP.


Описания этих пакетов, по большей части, не намекают на их вредоносный замысел. Некоторые из них маскируются под настоящие библиотеки и делают лестные сравнения между своими возможностями и возможностями известных, легитимных HTTP-библиотек. Пакеты содержат всего несколько файлов, большинство из которых содержат очень мало информации, идентифицирующей их, по сравнению с легитимными программными модулями. В лучшем случае, некоторые из этих вредоносных файлов будут содержать комментарии к коду или краткое описание функциональности.

Вредоносные программы, устанавливаемые из этих поддельных библиотек, включают загрузчики, используемые для доставки вредоносных программ второй стадии на скомпрометированные системы, и программы для кражи информации.

Indicators of Compromise

SHA1

  • 030728c7a876f34ee97963c7f09e6e0398a1f00a
  • 06663a6664335f700dd2c9aaf71bd656e9161cd6
  • 081f21e6398266f41bc179271bc3b95827122490
  • 23dc7d61d9d0d40cde42cc7cc48afee8b3f31110
  • 267b170a52a52a2137c77e671dd703a0b56d8b2d
  • 28c57661cb9f5528a46cbe848beebdfa02d866b1
  • 2b0822ba5f147dc594c4f9a95669090acab03bc1
  • 2b41cec321dd0be8519612294676f8bc3feaf1b6
  • 3d5914e823940b3598f74c54cc09b5c39488474e
  • 3dd660983a6ea7727fdbfb310292ba83c443ca03
  • 4b990e7f0bfd04a8619cb583ccabb2bce7a65bb7
  • 7a5d7f9dac73ee3ea9a631ee944cca635b4ff9f2
  • 7b325940dee4055745dd8d78ab535edc4fca078c
  • 7fe9ecbb376b77b976825f40a07bee31ae250e9b
  • 8c80db3ea4ebf67da6839c249270184dc4fcaeab
  • 904ed2566728036acc7ee645aaaac0b753f1ceef
  • 916bebc9d52d9c925edb6c4108ab9dead50a9ece
  • 91d756cc909e56e4ac97e013ea0951e5bb62c1dc
  • 92bcbf74010bb056b79968cd64289d100c8a80c7
  • 944fd9e568ebdb2ea77b8f3f47868f87cab62bf2
  • 9821e2f58328338598bbecaf9dd53a881d467978
  • 9ab40a25efe023ea23ce74aeb196181aefa3be15
  • 9cca5e233bee9f9ab3b41ce7cad8e5f43218d72c
  • a197c2140edac03fb48b1847c4369379c8925ba5
  • b997146c966da74b9c3e32f589d2790ced781864
  • bfb941328af98ad59608bbbf00f99178ae610352
  • c1442f89167024fe9e1b47509ffa9aadc63cdb23
  • c14af02c6d44645937d23fb122e3e84a612e93ca
  • c1fe2bab43d8feb7f6a49fab13dad379cdad4b6e
  • c2c50d42bea265e2b9033fd53cf5932b933ebc8a
  • c5654cd8e7a728b10094db0239d1d80c82de5d2d
  • c5b50973ac6c654e7bfd3e5e82b16f763a8ae149
  • cceaba4359acefea532073bf235553776a6ecfe5
  • d65524917e4d7d3a14483f4104b5a9a82d63acbf
  • df70515280dd4abcd7425aa616c1334ec1ab2a85
  • e315223b801fe90d8eb6caae6c31aa70f0f9aa15
  • efc8db855e879c72dc172ecd61e7ff0421c1fdbd
  • fa62287b44a159bbfaefb7f44c5df985de3d8fa8
  • faecbfe3d35f5cecfc04b9933b4f3128a5a9cc12
  • feaeac543428558fe6a9bace070939b9ec267b7d
  • ff12f89964e88d8c00f9f4339ca9539aea46db47
SEC-1275-1
Добавить комментарий