Эксперты подразделения ThreatLabz компании Zscaler выявили в популярном репозитории PyPI (Python Package Index) два вредоносных пакета - sisaws и secmeasure, которые маскируются под легитимное программное обеспечение и используются для распространения троянской программы удалённого доступа (RAT), получившей название SilentSync. Оба пакета были опубликованы одним и тем же автором и нацелены в первую очередь на разработчиков, работающих с системами здравоохранения Аргентины.
Описание
Пакет sisaws использует технику тайпсквоттинга - он имитирует легитимный пакет sisa, предназначенный для взаимодействия с государственными API Sistema Integrado de Información Sanitaria Argentino (SISA), национальной системы информации о здоровье. При поверхностном анализе sisaws выглядит как настоящая библиотека: он проверяет входные данные, возвращает структурированные ответы и даже имитирует работу с документами DNI (Национальное удостоверение личности). Однако внутри скрывается вредоносный функционал.
При вызове функции gen_token с определённым токеном пакет декодирует hex-строку, которая превращается в curl-команду, загружающую скрипт с Pastebin. Этот скрипт, сохраняемый как helper.py во временной папке, и является нагрузкой - трояном SilentSync.
Аналогичным образом действует и второй пакет - secmeasure. Он замаскирован под библиотеку для обработки строк и применения мер безопасности, но при вызове функции sanitize_input также запускает механизм загрузки SilentSync.
Троян SilentSync написан на Python и обладает широким набором функций: выполнение удалённых команд, эксфильтрация файлов, снятие скриншотов, кража данных из браузеров (включая историю, cookies, учётные данные и данные автозаполнения). Поддерживаются браузеры Chrome, Brave, Edge и Firefox. Для обеспечения постоянства на системе троян прописывает себя в автозагрузку через реестр Windows, crontab на Linux или LaunchAgents на macOS.
Для связи с командным сервером (C2) SilentSync использует HTTP-запросы на IP-адрес 200.58.107.25 через порт 5000. Протокол взаимодействия построен вокруг REST API с такими конечными точками, как /checkin для проверки связи, /comando для получения команд и /archivo для отправки похищенных данных.
Угроза демонстрирует растущий уровень изощрённости атак на цепочку поставок программного обеспечения. Злоумышленники активно используют доверие к открытым репозиториям, маскируя вредоносный код под легальные библиотеки. Это подчёркивает необходимость тщательной проверки всех зависимостей, даже из официальных источников.
Индикаторы компрометации
IPv4
- 200.58.107.25
URLs
- https://pastebin.com/raw/jaH2uRE1
MD5
- 327233d73236ca4d7c18ffd8f9924127
- 3918cace55342909c8309ec37d0207fd
- 9a092bbfc5325cbfca2f9807d074616a
