Атака на цепочки поставок через новые вредоносные пакеты Python

security IOC

Проводя мониторинг экосистемы открытых исходных кодов, команда FortiGuard Labs обнаружила более 60 атак нулевого дня, внедренных в пакеты PyPI (Python Package Index) в период с начала февраля до середины марта 2023 года.

Атака на цепочки поставок Python

Файл setup.py в этих пакетах пытается запустить PowerShell с командой, закодированной с помощью Base64, которая пытается загрузить потенциально вредоносный исполняемый файл и выполнить его.

  • py-hydraurlstudy (version 2.37)
  • tptoolpywgui (version 10.56)
  • libgetrandram (version 7.78)
  • esqultraultrapong (version 7.37)
  • esqhackedLGTBpip (version 5.4)
  • tppyrandomed (version 4.33)
  • esqpepintpyw (version 3.40)
  • py-proofnvidiavm (version 7.87)
  • selfvisapostosint (version 1.16)
  • esqhttpguicc (version 2.76)
  • esqcpupipkill (version 9.35)
  • py-ultrageturl (version 4.17)
  • esqpeprandpaypal (version 5.38)
  • esqhttppywinfo (version 8.86)
  • tppyLGTBnvidia (version 3.11)
  • selfpostmcintel (version 10.27)
  • esqrerecandy (version 2.70)
  • esqpaypalnvidiaurl (version 4.73)
  • librereplacereplace (version 8.23)
  • selfhackedrandomstudy (versions 4.59, 5.55)
  • libvirtualsplitstring (version 2.35)
  • py-infohydrarandom (version 1.57)
  • esqproofpongint (version 4.27)
  • selfccvirtualgame (version 6.70)
  • tpintelpullcpu (version 9.31)
  • selflibmineload (version 5.34)
  • esqsplitpushpush (version 7.71)
  • selfproofstudyrand (version 1.59)
  • libcontrolverLGTB (version 5.50)
  • esqgameloadrandom (version 4.81)
  • selfpaypalcontrolsuper (version 5.71)
  • libpipinfoad (version 10.35)
  • libpywstrvm (version 7.15)
  • selfhydrastudycc (version 2.15)
  • tpstringcraftget (version 6.42)
  • esqlibkillstr (version 10.27)
  • selfrandompullver (version 1.9)
  • tpreloadad (version 1.68)
  • selfinturlstudy (version 2.23)
  • selfosintgrandrandom (version 2.67)

Файл setup.py в этих пакетах пытается выполнить сценарий python, написанный для подключения к URL-адресу, который может содержать вредоносный код.

  • useragentclient (version 1.0)
  • etherapi (version 1.0)
  • colorstyle (version 1.0)
  • ligitgays (version 1.0)
  • ligitkidss (version 1.0)
  • tls-python (version 1.0)
  • tlsproxies (version 1.0)
  • xboxlivepy (version 1.0)
  • syntax-init (version 1.0)

Файл setup.py в этих пакетах пытается украсть конфиденциальную информацию, такую как кредитные карты, кошельки, логины учетных записей и т.д., используя веб-крючок Discord.

  • trc20-unlocker (version 1.0)
  • snwproxies (version 1.0)
  • thebypasstool (version 1.0)
  • judyb-advanced (version 1.0)

Пакеты в каждом наборе, похоже, используют схожие методы атак. Учитывая объем и разнообразие обнаруженных  вредоносных пакетов, конечным пользователям Python следует проявлять осторожность при загрузке пакетов и перепроверять их перед использованием.

Indicators of Compromise

URLs

  • https://paste.bingner.com/paste/jr7ow/raw
  • https://raw.githubusercontent.com/addi00000/empyrean-injection/main/obfuscated.js
  • https://cdn.discordapp.com/attachments/1072676199073062975/1072698468956655726/Game.zip

MD5

  • 066504d4d96e87e03ee4b0a376a52e48
  • 06806a437fffa0dab76ad210dd7f4882
  • 0c6d69eaa4ef032f12488f69212fe97f
  • 16485e4dd28267454ca662b63b75be7c
  • 1696d741e7662f308d3e9652a0459f8f
  • 1ac11dea159ef156efa2ef5e9203ebfa
  • 1fc512f11f1a82c21ccf212bb33d47e8
  • 1fd6d8fceb580e6533fb4e738cc0649a
  • 2b0687a1c481640a509ce7318139cd8f
  • 2e1f58d6bc5a17b0d960cbd2f5c35439
  • 3489759928419c648b64203a7c0774f8
  • 35179043d9dac475e909f738607c37e4
  • 3674bec2a77700e395ed8362dcd6ba36
  • 3694c1e415e8eb8dc42d22dc64b8da45
  • 37ddd37dd81c89403db80f9f8a028da1
  • 4058792e610d3bffcbbd974f4c1e2684
  • 41c09093ec7fe35dbbf9c6a883a785a7
  • 463219aa4369ce899d7d8954a38461f1
  • 474314671210b3072fd5fbab0055157c
  • 499796cf69911760fb01c56b5018b4d3
  • 4dc485dc9c7e9b93cc5b1e2d9e324fb1
  • 4e04fb6bf5e9220b89b91140d0463ddd
  • 4e6aa7bf3c19e1a1efe2919849c2d558
  • 536e633502346758c19001ec8da5bf1d
  • 54bf5a75397d4bfff31117da99fb9284
  • 59b3158f9deb2af0456630651b70728d
  • 5a225ac739236ea5bad546bea3cfa4fe
  • 5cdcfa41a9103c7d010fefc8d707e90e
  • 5e201a9b6e9ceccf426bd7156a994bd2
  • 5fa2cf47fe507a953340910e751c141a
  • 64ed73a23586a8a2b004d417a640cd1e
  • 6cb28f3b3f1e7af941f4488a0f90031f
  • 6e00f43c4fd7a823930a1b5b4521eb6a
  • 7198588c88e63dd8b5b9703c4eb60c00
  • 7632cb077c1317a5b125f8abb027129d
  • 770c30e227785114a0a6bca18369ac79
  • 7aaf54b11f718bf58088f0209f24720e
  • 7c59a65fac3f66e12021d9c58378a8a9
  • 7d94454a11dba12c29f391c6c38da88c
  • 7e9c14bfe6319445f0d263841b8cf70b
  • 806a4eb3c5028beb33391655f563f456
  • 8476f7131e86612e66fbc713f7b9b3b4
  • 84844048aadadabf86024ffa30f7360f
  • 8b8efbbe6905992de8b33d9dc025e8a0
  • 90de1fe8b1f065dc955954f6bf312d62
  • 9ad1e8cbaea7c81f88e642d29b15ead2
  • 9f7925c38a63e97a631fb59bc0ac6181
  • a9963de42759b10941ca69cdd2d1e042
  • ab431aa32559ae212850dc7c8fba409f
  • aeb6de64365803f9d880a4e61be84bbb
  • b50cd92b8c7d0292a802db8f44b5e601
  • b5eef88865f918414bafb8746270af46
  • b784f35cdfa84d6c1d75c5b170fc60a0
  • bc46032389f109269a3e6234172c36fa
  • ce49e4d8901b4ba5de70346136c32014
  • d2b6638b1b1b74efe5743b09b737247b
  • d2b9ab6be1eba05cc3a2153adf2f42fc
  • d3d31b1d776064a1ae7b5fb7da3e70ed
  • d41bc11f65fa9c685f344203bc119bc8
  • dc64710af040a0b3d60c1549511b822a
  • dcc57259504d3e74a03a706d9f053bfc
  • e2ca2b4337f1024e989cfa22c227e299
  • fda5f1b4580bc9a52452a5a48150abcb
  • fefd35ee35bc1bc95e86d85efd16305a
SEC-1275-1
Добавить комментарий