На фоне потока обновлений кода и развертывания пакетов с начала апреля 2023 года в экосистеме Python начала вырисовываться заметная закономерность. Неуловимый злоумышленник, действующий под множеством, казалось бы, случайных имен, начал неустанную кампанию. Сотни вредоносных пакетов с удивительно похожими метаданными и структурой кода стали наводнять репозитории открытых исходных кодов. Эти пакеты успели набрать приличное количество загрузок - ~75 000. Огромный объем и устойчивость этих пакетов указывали на то, что злоумышленник имеет хорошо продуманную программу действий.
- С начала апреля 2023 г. злоумышленник неустанно рассылает сотни вредоносных пакетов под различными именами пользователей, накопив около 75 тыс. загрузок.
- Очевидна эволюция злоумышленника: переход от открытого текста к шифрованию, а затем к многоуровневой обфускации и вторичной дезассемблирующей полезной нагрузке.
- Вредоносный пакет забрасывает широкую сеть, стремясь похитить большое количество конфиденциальных данных, в том числе из целевой системы, приложений, браузеров и пользователей. Кроме того, вредоносный пакет нацелен на криптовалютных пользователей, модифицируя криптовалютные адреса для перенаправления транзакций злоумышленнику. Последние пакеты угроз умело разрушают защиту системы, делая ее незащищенной и уязвимой.
- Вредоносный код явно предназначен для работы на системах Windows.
- Успех злоумышленников нагляден: за время действия вредоносных пакетов по одному из адресов их криптокошельков были проведены шестизначные транзакции (средства были направлены на счет злоумышленника).
Indicators of Compromise
URLs
- https://bananasquad.ru/app.asar
- https://bananasquad.ru/downloadhandler
- https://bananasquad.ru/handler
- https://discord.com/api/webhooks/827123456789012345/getn1gga
- https://kekwltd.ru/relay/bluescreen
- https://kekwltd.ru/relay/download
- https://paste.bingner.com/paste/fhvyp/raw
Emails
- johannes.mayer@yahoo.com
- NHJonas@gmail.com
- nick.faltermeier@gmx.de
- SuSB0t@gmail.com