Команда FortiGuard Labs недавно выявила серию новых атак типа 0-day, связанных с публикацией вредоносных пакетов в репозитории PyPI (Python Package Index). Автор угрозы, скрывающийся под ником 'Core1337', разместил несколько пакетов, включая '3m-promo-gen-api', 'Ai-Solver-gen', 'hypixel-coins', 'httpxrequesterv2' и 'httpxrequester'. Все они были опубликованы в конце января 2023 года и содержали скрытый вредоносный код, направленный на кражу конфиденциальных данных пользователей.
Описание
Анализ показал, что каждый из этих пакетов имел только одну версию и пустое описание, что затрудняло их обнаружение. Однако при детальном изучении файла setup.py исследователи обнаружили схожий механизм работы. Основная часть кода была идентичной, за исключением URL-адреса веб-хука, который использовался для передачи украденных данных. Исследование этого URL позволило предположить связь с вредоносной программой "Spidey Bot", известной своими атаками через Discord.
При проведении статического анализа FortiGuard Labs выявили несколько опасных функций. Вредоносный код пытается извлечь данные из браузеров, включая логины, пароли и cookies, а затем сохраняет их в локальный файл перед отправкой злоумышленникам. Например, функция 'getPassw' собирает учетные данные пользователей, а функция 'getCookie' извлекает данные сессий. В начале каждого украденного файла вредоносная программа оставляет метку 'Fade Stealer', что указывает на ее принадлежность к семейству стилеров.
Другие функции, такие как 'Kiwi', 'KiwiFile' и 'uploadToAnonfiles', предназначены для поиска и передачи файлов, содержащих критически важную информацию, включая банковские данные и учетные записи. Для этого злоумышленники используют файлообменный сервис transfer.sh, что позволяет им скрыть следы своей деятельности.
Особую тревогу вызывает тот факт, что один автор смог распространить несколько вредоносных пакетов с разными названиями, но одинаковым функционалом. Это демонстрирует уязвимость экосистемы PyPI, где злоумышленники могут легко маскировать вредоносный код под легитимные библиотеки.
Учитывая масштаб угрозы, пользователям Python рекомендуется проявлять крайнюю осторожность при установке пакетов из PyPI. Следует проверять репутацию авторов, читать отзывы и анализировать исходный код перед использованием. Разработчикам также стоит обновлять защитные механизмы и использовать антивирусные решения для выявления подобных угроз.
Этот инцидент в очередной раз подчеркивает важность кибергигиены и необходимости постоянного мониторинга открытых репозиториев на предмет вредоносной активности. Команда FortiGuard Labs продолжает отслеживать ситуацию и рекомендует сообществу разработчиков сообщать о подозрительных пакетах для их оперативного удаления.
Индикаторы компрометации
URLs
- https://discord.com/api/webhooks/1069214746395562004/sejnJnNA3lWgkWC4V86RaFzaiUQ3dIAG958qwAUkLCkYjJ7scZhoa-KkRgBOhQw8Ecqd
SHA256
- 915b75ea258a42c5c1916d18a42302bbafa960bdafea1588b772d5284eec1997
