В свежем отчете компания Sonatype сообщила о появлении вредоносного пакета с открытым исходным кодом под названием 'crytic-compilers' на платформе PyPI, используемой криптовалютными разработчиками для компиляции смарт-контрактов. Поддельный пакет успел набрать 436 загрузок, прежде чем был удален. Пакет действовал под видом легальной библиотеки Python 'crytic-compile', что создавало путаницу среди пользователей. Вредоносный компонент включал в себя исполняемый файл 's.exe', который был идентифицирован как проблемный и вредоносный.
Компания Sonatype отметила, что данное событие свидетельствует о том, что опытные злоумышленники начинают нацеленность на разработчиков Python и используют каналы распространения с открытым кодом, чтобы распространить свои вредоносные программы. В то же время, настоящая библиотека 'crytic-compile' остается популярной и востребованной среди крипторазработчиков.
Аналитики обнаружили, что вредоносный исполняемый файл Windows, связанный с данной атакой, связан с трояном LummaC2. Этот троян нацелен на кражу паролей от браузеров и криптокошельков. LummaC2 использует методы защиты от обнаружения и скрытности, чтобы избежать анализа исследователями и песочниц малваре, а также имеет активные домены и IP-адреса для установления связи с злоумышленниками.
LummaC2, написанный на языке C, действует с августа 2022 года и предоставляется как вредоносное ПО в рамках Maas-модели. Вредоносная программа распространяется через различные каналы, включая троянизированные загрузочные приложения, фишинговые письма и пиратские игры с читами. В настоящее время злоумышленники также использовали drive-by загрузки, устанавливая фальшивые обновления для браузеров на взломанных сайтах.
Indicators of Compromise
IPv4
- 104.21.20.88
- 104.21.53.146
- 104.21.59.156
- 172.67.148.231
- 172.67.173.139
- 172.67.183.72
- 172.67.186.30
- 172.67.203.170
Domains
- acceptabledcooeprs.shop
- boredimperissvieos.shop
- holicisticscrarws.shop
- miniaturefinerninewjs.shop
- obsceneclassyjuwks.shop
- plaintediousidowsko.shop
- sweetsquarediaslw.shop
- zippyfinickysofwps.shop