Исследователи Python-Downloader-BlogReversingLabs обнаружили вредоносный пакет xFileSyncerx на Python Package Index (PyPI). Команда кибербезопасности, называемая "красной командой", создала этот пакет, чтобы проверить безопасность управляемой ими сети. Однако такие инциденты подчеркивают проблему обнаружения угроз в открытом программном обеспечении.
Угрозы с открытым исходным кодом представляют собой серьезную проблему для компаний, занимающихся разработкой открытого ПО. Вредоносные пакеты и серые программы, такие как тестовые пакеты, могут создать "шум", затрудняющий выявление и устранение угроз. Исследователи ReversingLabs используют специализированные инструменты и технологию Spectra для обнаружения подозрительных пакетов с открытым исходным кодом.
Одним из признаков подозрительных пакетов является обфускация кода, которая ers ers используется для скрытия намерений разработчика. Недавний вредоносный пакет xFileSyncerx содержал обфусцированный код и включал в себя загрузчик вредоносного ПО и "вайпер". Вайпер s2.py представляет собой вторую стадию вредоносной программы и используется для шифрования файлов на зараженной системе.
Исследователи также обнаружили, что вредоносная загрузка в пакете xFileSyncerx была замаскирована в виде последовательности символов, делая ее сложной для обнаружения. Загрузка указывала на файл s2.py, который размещен на GitHub и использует алгоритм шифрования Fernet для шифрования файлов на зараженной системе. Все это указывает на то, что вредоносный пакет xFileSyncerx был разработан и опубликован с целью создания угрозы для открытого программного обеспечения.
Indicators of Compromise
URLs
- https://raw.githubusercontent.com/d3duct1v/tester-of-trees/main/s2.py
- https://raw.githubusercontent.com/d3duct1v/tester-of-trees/main/s3.py
SHA1
- e200d11a089e66840598b104b57e9758855031b3