VMConnect: Вредоносные пакеты PyPI имитируют легальные модули Python для скрытого доступа к системам

Одним из наиболее примечательных пакетов в этой кампании стал VMConnect, который имитировал легальный модуль vConnector - обертку для работы с VMware vSphere. Однако вместо заявленного функционала пакет содержал механизм для установки постоянного соединения с C2-сервером. Вредоносный код работал в бесконечном цикле, периодически запрашивая у сервера новые команды в закодированном формате Base64. Если соединение было успешным, загруженные инструкции выполнялись на зараженной машине, после чего цикл повторялся.

Интересно, что на момент исследования сервер C2 оставался активным, но не передавал никаких явных вредоносных команд. Это может указывать на то, что злоумышленники используют выборочный подход к атакам, активируя вредоносную нагрузку только на определенных машинах. Например, операторы могут фильтровать подключения по географическому признаку, игнорируя запросы из стран, где высока вероятность обнаружения атаки. Также возможно, что вредоносный код предназначен для долгосрочного скрытого присутствия в системе с последующей активацией по команде.

Подобные атаки представляют серьезную угрозу для разработчиков и компаний, использующих открытые репозитории для управления зависимостями. Поскольку PyPI является доверенным источником, многие пользователи автоматически устанавливают пакеты, не проверяя их подлинность. В данном случае злоумышленники воспользовались этой уязвимостью, создав пакеты с названиями, похожими на популярные библиотеки. Например, вместо databases злоумышленники загрузили пакет с похожим именем, но с дополнительными символами или опечатками, рассчитывая на ошибку при вводе.

Эксперты по безопасности рекомендуют разработчикам тщательно проверять источники устанавливаемых пакетов, обращать внимание на статистику загрузок, рейтинги и отзывы. Также полезно использовать инструменты статического анализа кода для выявления подозрительных фрагментов перед установкой. Владельцам корпоративных систем стоит внедрять механизмы контроля зависимостей, включая сканирование репозиториев на наличие вредоносных пакетов.

Данный инцидент в очередной раз подчеркивает растущую угрозу supply-chain атак, когда злоумышленники атакуют не конечные системы, а цепочки поставок программного обеспечения. Подобные методы позволяют им заражать сразу множество жертв, оставаясь незамеченными. В связи с этим PyPI и другие репозитории должны ужесточить проверку загружаемых пакетов, а сообщество разработчиков - активнее участвовать в выявлении подозрительных модулей.

На данный момент вредоносные пакеты удалены из PyPI, однако исследователи предупреждают, что аналогичные кампании могут повториться. Пользователям, которые могли установить поддельные модули, рекомендуется проверить свои системы на наличие подозрительной активности и при необходимости выполнить очистку.

IPv4

• 45.61.139.219

Domains

• deliworkshopexpress.xyz
• ethertestnet.pro

SHA1

• 0b7b4444f820e9990dfeb5e2080321b5f25a9785
• 0dc723e77a5b97183a90eaecb62c9b7341e483ed
• 0eb79e80c51c0e14be3620dfb237f7b53160a292
• 146942c5dbaba55be174b1bfb127410e332caa03
• 19684554e4905bb3cf354a5d5a0f00d696f38926
• 2ff1b3aa2dbff6d87447b250a8d19241e7853ab0
• 497df2fd2dba324be04cc57f50a3170b532aa70c
• 5f03b73d56528ecbc3f24b8e7daec6b3d3370834
• 658605988c7afd9adf437fb64ff682cb4190f144
• 664f0913a5952eeb77373f83e090fab7e94aa45e
• 67226da423ab4a2c97b2d008dec45280aaa5fdf5
• 6bf76b01bd17f370cd3f9947135bf250597d1ac1
• 9588affaf9d85e2141b9d76b914d9f89a8292574
• 9a276ca3678898f5596166416f7e709a2064e95c
• a1b039f88c385f5c5eec2ef1701251c7341b1fcd
• b0095f149951241c6e11e0d1be1f74e8cdfbdbb2
• b1f2d50be0aca0672475488d77c6f71a1b0633f8
• bc2d48d6d9eeaf0b29625683942e90dfd2b75723
• bd7ba47f730c2bc33afa67a39d9cbe3768f62426
• d404a55f1f7fbcd8b3156a84ebcf97c57ba24b95
• dbc14c3ac0528a8aeb6edba8a0b2792dab131102
• de4e9efeace6ff76dc00a166dca152dc3021d799
• e531121b137182453f0d120be860ad882d2dc0a7
• e6494b9a91862191556d77022e5577ddbe749ef4