Команда исследователей Fortinet обнаружила опасный пакет в репозитории PyPI под названием "shaderz", который скрывает в себе вредоносный код. Угроза была выявлена 6 декабря 2022 года благодаря системе мониторинга открытых экосистем, используемой Fortinet. Пакет, опубликованный 2 декабря 2022 года, сразу вызвал подозрения из-за своей подозрительной активности. В частности, у него была всего одна версия (0.0.1), отсутствовало описание, контактные данные автора и ссылка на исходный код.
Описание
Главная опасность пакета "shaderz" заключается в его скрипте установки setup.py, который содержит вредоносный код. В процессе инсталляции он загружает и запускает исполняемый файл с подозрительного URL-адреса. Исследователи обратили внимание на ссылку, размещенную на сервере Discord: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe. Этот URL ведет к исполняемому файлу, который уже был отмечен некоторыми антивирусными решениями как вредоносный.
Анализ загружаемого файла (SHA-256: 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d) показал, что он представляет собой скомпилированный Python-скрипт, преобразованный в исполняемый файл. Подобные методы часто используются злоумышленниками для маскировки вредоносной активности, поскольку они позволяют обходить базовые системы защиты. Несмотря на то что данный URL ранее не фигурировал в отчетах других исследовательских групп, его вредоносная природа подтверждена рядом антивирусных сканеров.
Эксперты Fortinet отмечают, что подобные атаки становятся все более распространенными в экосистеме открытого ПО. Злоумышленники активно используют доверие разработчиков к публичным репозиториям, таким как PyPI, для распространения вредоносных пакетов. В данном случае атака была направлена на разработчиков, которые могли установить пакет "shaderz" по ошибке или из-за недостаточной проверки его происхождения.
Для защиты от подобных угроз специалисты рекомендуют соблюдать базовые меры предосторожности: всегда проверять репутацию автора пакета, изучать историю обновлений, а также использовать инструменты статического анализа кода перед установкой. Кроме того, важно регулярно обновлять системы мониторинга и антивирусные решения, чтобы своевременно выявлять подозрительную активность.
Этот инцидент в очередной раз подчеркивает важность безопасности в открытых экосистемах. Разработчики должны быть особенно внимательны при выборе сторонних библиотек, поскольку даже один вредоносный пакет может привести к серьезным последствиям, включая утечку данных или компрометацию систем. Исследователи Fortinet продолжают анализировать угрозу и рекомендуют всем, кто мог установить "shaderz", проверить свои системы на наличие следов вредоносной активности.
Индикаторы компрометации
URLs
- cdn.discordapp.com/attachments/1045000289708687390/1045159487079723058/stub.exe
SHA256
- fd9f944fafb58faf783fdf4f8638d281a429b84cdb119756e6d7d92b31a079de
- 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d
