Исследователи компании ReversingLabs обнаружили вредоносный пакет, представляющий собой пакетные действия, связанные с киберактивистской группировкой. Отмечается, что такие атаки на репозитории открытого программного обеспечения, включая Python Package Index (PyPI), могут осуществляться с разными мотивами, включая финансовую выгоду.
Описание
Новая вредоносная кампания, обнаруженная RL на PyPI, может быть связана с агентом угроз в поддержку Украины. Вредоносный пакет, dbgpkg, представляет себя как отладочная утилита Python, но на самом деле содержит бэкдор, позволяющий злоумышленникам выполнить вредоносный код и получить доступ к конфиденциальным данным разработчиков.
Исследователи сравнили вредоносные пакеты и методы атак предыдущих кампаний, пришли к выводу, что новый пакет мог бы быть связан с хактивистской группировкой, известной своими кампаниями против России в поддержку Украины. Было обнаружено, что вредоносные пакеты также были связаны с другими инцидентами, такими как пакет discordpydebug, который прикрывал троян удаленного доступа для разработчиков ботов в Discord.
Аналогично, пакет requestsdev, опубликованный непосредственно перед dbgpkg, также содержит вредоносный код. Пакеты содержат обертки для модулей requests и socket Python, используемых для сетевой коммуникации.
Индикаторы компрометации
SHA1
- 0a94bc7146db582d7e0a9949f67f9227b081df15
- 18a5b775e9f86549466d11d3e9bd1cd2d36caf42
- 4d3245814983811719fe402530d331abbf4d1698
- 73d12f822bc37e6355b74e8403456c82cee35ec6
- 767a5016dff3286465a323ae1b96ab7b21b3cc1f
- 83176c39ae6a04dadec5068cafccb8cbe7919cf4
- 88bf3680b48dbe841df2205f63ad5a16fff1f84f
- 89f3fdb44f9f049a9bde0fd0cb41ede719ee907f
- af51273444b5aa1b8737dff445e487efe87017c5
- cfb1380b8ee93d9570982a2de675e7e67bb51eb8
- d08830be94236f72929a1cf986f1515689e9d3e4
- d5fb0799ac7aa3bf1a888de502b1c7d3f1e060a8
- d80e431a2f7c88772ed985011820b0f517136264
- de602888e519a04fc280df41a1e4ea77a94c4908
- edcfb10ec5d27dbe0ed4182e68d214b421ace9d9
- ef839ac2a2dfb08b8650fba66e3fe12d320cab72
