В течение почти полугода некий атакующий злоумышленник подбрасывал вредоносные пакеты Python в репозиторий открытых исходных текстов.
Многие из них были замаскированы названиями, очень похожими на популярные легитимные пакеты Python. В результате они получали тысячи загрузок.- Файл setup.py, входящий в состав этих пакетов, использовался для переноса вредоносной полезной нагрузки, которая позволяла выполнить вредоносный код при установке.
- Характерной особенностью этой атаки стало использование стеганографии для скрытия вредоносной полезной нагрузки в невинно выглядящем файле-изображении, что повысило скрытность атаки.
- Характер атаки указывает на системный подход: код этих пакетов имеет схожие методы обфускации и вредоносную полезную нагрузку.
- Конечной целью этих пакетов, по-видимому, является обеспечение устойчивости на взломанных системах, кража конфиденциальной информации и получение финансовой выгоды.
Indicators of Compromise
URLs
- http://51.178.25.148:8081/dl/gamesdk
- http://51.178.25.148:8081/dl/runtime
- http://51.178.25.148:8081/dl/sys86
- http://51.178.25.148:8081/dl/system
- http://51.178.25.148:8081/dl/uwu
- http://51.178.25.148:8081/gethw
- http://51.178.25.148:8081/getip
- http://51.178.25.148:8081/rooter
- http://51.178.25.148:8081/upload
- http://51.178.25.148:8081/uploader
- https://canary.discord.com/api/webhooks/1152648911371120681/JlL5FnwmY6nP6RaZxmQ7NI9MGR6HARmAekaPqPDdVTq9K3RJ68Lcd7cz16l9u6eZH9c3
- https://canary.discord.com/api/webhooks/1152716297474424913/z6-hvrQNeyL0m1Mm34JLYj1VVB67sVEXogqJzGCkxYgMFCgCWhQaR07ruMBck1dJAi9g
- https://canary.discord.com/api/webhooks/1153431050517762059/MAkfrB4n1Gz6qe7W8ffWTZF92yfN3D_FWPFFaK_FBgDQWB1ZYfbKHa61X_8L6GK175r0
- https://canary.discord.com/api/webhooks/1155235432406196334/3eFtMXnG2laJjInzO_kAzLbW6ebMgbrrwmAcRtZyOfqnyCh-twTT9pSumcKr5QJvbGEZ
- https://discord.com/api/webhooks/1103033150558457876/22oUF1rkDTdxz-iq-2EOR4aVXwDr5vFIeE9zWlitIbYSG2E3XhF8KQIzuo1uXy_bOcos
- https://pastebin.com/raw/TwHdexDC