В PyPI обнаружены новые вредоносные пакеты, маскирующиеся под популярный "requests"

После установки вредоносного пакета становится очевидно, что его структура практически идентична легитимной библиотеке "requests". Однако ключевое отличие кроется в файле "exception.py", где злоумышленники спрятали вредоносный код. Внутри класса "HTTPError" находится Base64-кодированный Python-скрипт, который выполняет ряд скрытых действий. Сначала он записывает однострочный скрипт во временный файл, а затем запускает его. Этот скрипт, в свою очередь, загружает следующий этап атаки - загрузчик, обфусцированный с помощью инструмента Hyperion.

Обфускация кода - распространенный метод, используемый злоумышленниками для усложнения анализа вредоносного ПО. В данном случае применялись такие техники, как переименование переменных и функций, добавление бессмысленных арифметических выражений, а также сжатие фрагментов кода с помощью библиотеки zlib. Все это делает анализ и обнаружение угрозы значительно сложнее.

Финальная стадия атаки представляет собой троянскую программу, также написанную на Python и обфусцированную тем же способом. Авторы вредоноса назвали его "W4SP Stealer" - это стиллер, специализирующийся на краже конфиденциальных данных. В первую очередь он собирает сохраненные учетные данные браузеров, но не все подряд, а только те, что связаны с определенными ключевыми словами, такими как "почта", "банк", "карта", "купить" и "продать". Это говорит о том, что злоумышленники целенаправленно ищут доступ к финансовым данным и учетным записям пользователей.

Кроме того, "W4SP Stealer" способен извлекать информацию из криптовалютных кошельков, включая MetaMask, Atomic и Exodus. Также под угрозой оказываются учетные записи Steam и Minecraft - популярных игровых платформ, где злоумышленники могут попытаться перехватить аккаунты для последующей перепродажи или использования в мошеннических схемах.

Этот инцидент в очередной раз демонстрирует, насколько важна осторожность при установке сторонних библиотек, даже если они кажутся проверенными. Разработчикам следует тщательно проверять источники загрузки, сверять названия пакетов и их репутацию, а также использовать инструменты для анализа зависимостей на предмет потенциальных угроз.

Эксперты по кибербезопасности рекомендуют не только полагаться на автоматические системы защиты, но и вручную проверять подозрительные пакеты перед их использованием. В случае с PyPI уже не первый год фиксируются подобные атаки, что делает эту платформу привлекательной для злоумышленников, эксплуатирующих доверие разработчиков.

В настоящее время вредоносные пакеты удалены из репозитория, однако нельзя исключать, что аналогичные угрозы появятся вновь. Пользователям Python следует проявлять бдительность и следить за обновлениями от сообщества информационной безопасности, чтобы своевременно узнавать о новых рисках.

Domains

• zerotwo-best-waifu.online

URLs

• https://zerotwo-best-waifu.online/778112985743251/wap/enner/injector
• https://zerotwo-best-waifu.online/778112985743251/wap/shatlegay/stealer123365

MD5

• 34c9d77afd77611ce55716f23594275a
• 42f0f3b4d5a2be7f09d1c02668cb2c08
• 556ee928fbffd4bbd1cec282ec1a5bb3
• d7b6df674690c2e81c72ea031ed44a6f
• f2102dee0caba546ef98b47b373bab9a