Проводя мониторинг экосистемы открытых исходных кодов, команда FortiGuard Labs обнаружила более 60 атак нулевого дня, внедренных в пакеты PyPI (Python Package Index) в период с начала февраля до середины марта 2023 года.
Атака на цепочки поставок Python
Файл setup.py в этих пакетах пытается запустить PowerShell с командой, закодированной с помощью Base64, которая пытается загрузить потенциально вредоносный исполняемый файл и выполнить его.
- py-hydraurlstudy (version 2.37)
- tptoolpywgui (version 10.56)
- libgetrandram (version 7.78)
- esqultraultrapong (version 7.37)
- esqhackedLGTBpip (version 5.4)
- tppyrandomed (version 4.33)
- esqpepintpyw (version 3.40)
- py-proofnvidiavm (version 7.87)
- selfvisapostosint (version 1.16)
- esqhttpguicc (version 2.76)
- esqcpupipkill (version 9.35)
- py-ultrageturl (version 4.17)
- esqpeprandpaypal (version 5.38)
- esqhttppywinfo (version 8.86)
- tppyLGTBnvidia (version 3.11)
- selfpostmcintel (version 10.27)
- esqrerecandy (version 2.70)
- esqpaypalnvidiaurl (version 4.73)
- librereplacereplace (version 8.23)
- selfhackedrandomstudy (versions 4.59, 5.55)
- libvirtualsplitstring (version 2.35)
- py-infohydrarandom (version 1.57)
- esqproofpongint (version 4.27)
- selfccvirtualgame (version 6.70)
- tpintelpullcpu (version 9.31)
- selflibmineload (version 5.34)
- esqsplitpushpush (version 7.71)
- selfproofstudyrand (version 1.59)
- libcontrolverLGTB (version 5.50)
- esqgameloadrandom (version 4.81)
- selfpaypalcontrolsuper (version 5.71)
- libpipinfoad (version 10.35)
- libpywstrvm (version 7.15)
- selfhydrastudycc (version 2.15)
- tpstringcraftget (version 6.42)
- esqlibkillstr (version 10.27)
- selfrandompullver (version 1.9)
- tpreloadad (version 1.68)
- selfinturlstudy (version 2.23)
- selfosintgrandrandom (version 2.67)
Файл setup.py в этих пакетах пытается выполнить сценарий python, написанный для подключения к URL-адресу, который может содержать вредоносный код.
- useragentclient (version 1.0)
- etherapi (version 1.0)
- colorstyle (version 1.0)
- ligitgays (version 1.0)
- ligitkidss (version 1.0)
- tls-python (version 1.0)
- tlsproxies (version 1.0)
- xboxlivepy (version 1.0)
- syntax-init (version 1.0)
Файл setup.py в этих пакетах пытается украсть конфиденциальную информацию, такую как кредитные карты, кошельки, логины учетных записей и т.д., используя веб-крючок Discord.
- trc20-unlocker (version 1.0)
- snwproxies (version 1.0)
- thebypasstool (version 1.0)
- judyb-advanced (version 1.0)
Пакеты в каждом наборе, похоже, используют схожие методы атак. Учитывая объем и разнообразие обнаруженных вредоносных пакетов, конечным пользователям Python следует проявлять осторожность при загрузке пакетов и перепроверять их перед использованием.
Indicators of Compromise
URLs
- https://paste.bingner.com/paste/jr7ow/raw
- https://raw.githubusercontent.com/addi00000/empyrean-injection/main/obfuscated.js
- https://cdn.discordapp.com/attachments/1072676199073062975/1072698468956655726/Game.zip
MD5
- 066504d4d96e87e03ee4b0a376a52e48
- 06806a437fffa0dab76ad210dd7f4882
- 0c6d69eaa4ef032f12488f69212fe97f
- 16485e4dd28267454ca662b63b75be7c
- 1696d741e7662f308d3e9652a0459f8f
- 1ac11dea159ef156efa2ef5e9203ebfa
- 1fc512f11f1a82c21ccf212bb33d47e8
- 1fd6d8fceb580e6533fb4e738cc0649a
- 2b0687a1c481640a509ce7318139cd8f
- 2e1f58d6bc5a17b0d960cbd2f5c35439
- 3489759928419c648b64203a7c0774f8
- 35179043d9dac475e909f738607c37e4
- 3674bec2a77700e395ed8362dcd6ba36
- 3694c1e415e8eb8dc42d22dc64b8da45
- 37ddd37dd81c89403db80f9f8a028da1
- 4058792e610d3bffcbbd974f4c1e2684
- 41c09093ec7fe35dbbf9c6a883a785a7
- 463219aa4369ce899d7d8954a38461f1
- 474314671210b3072fd5fbab0055157c
- 499796cf69911760fb01c56b5018b4d3
- 4dc485dc9c7e9b93cc5b1e2d9e324fb1
- 4e04fb6bf5e9220b89b91140d0463ddd
- 4e6aa7bf3c19e1a1efe2919849c2d558
- 536e633502346758c19001ec8da5bf1d
- 54bf5a75397d4bfff31117da99fb9284
- 59b3158f9deb2af0456630651b70728d
- 5a225ac739236ea5bad546bea3cfa4fe
- 5cdcfa41a9103c7d010fefc8d707e90e
- 5e201a9b6e9ceccf426bd7156a994bd2
- 5fa2cf47fe507a953340910e751c141a
- 64ed73a23586a8a2b004d417a640cd1e
- 6cb28f3b3f1e7af941f4488a0f90031f
- 6e00f43c4fd7a823930a1b5b4521eb6a
- 7198588c88e63dd8b5b9703c4eb60c00
- 7632cb077c1317a5b125f8abb027129d
- 770c30e227785114a0a6bca18369ac79
- 7aaf54b11f718bf58088f0209f24720e
- 7c59a65fac3f66e12021d9c58378a8a9
- 7d94454a11dba12c29f391c6c38da88c
- 7e9c14bfe6319445f0d263841b8cf70b
- 806a4eb3c5028beb33391655f563f456
- 8476f7131e86612e66fbc713f7b9b3b4
- 84844048aadadabf86024ffa30f7360f
- 8b8efbbe6905992de8b33d9dc025e8a0
- 90de1fe8b1f065dc955954f6bf312d62
- 9ad1e8cbaea7c81f88e642d29b15ead2
- 9f7925c38a63e97a631fb59bc0ac6181
- a9963de42759b10941ca69cdd2d1e042
- ab431aa32559ae212850dc7c8fba409f
- aeb6de64365803f9d880a4e61be84bbb
- b50cd92b8c7d0292a802db8f44b5e601
- b5eef88865f918414bafb8746270af46
- b784f35cdfa84d6c1d75c5b170fc60a0
- bc46032389f109269a3e6234172c36fa
- ce49e4d8901b4ba5de70346136c32014
- d2b6638b1b1b74efe5743b09b737247b
- d2b9ab6be1eba05cc3a2153adf2f42fc
- d3d31b1d776064a1ae7b5fb7da3e70ed
- d41bc11f65fa9c685f344203bc119bc8
- dc64710af040a0b3d60c1549511b822a
- dcc57259504d3e74a03a706d9f053bfc
- e2ca2b4337f1024e989cfa22c227e299
- fda5f1b4580bc9a52452a5a48150abcb
- fefd35ee35bc1bc95e86d85efd16305a