Команда FortiGuard Labs выявила вредоносный пакет PyPI под названием zlibxjson, который представляет угрозу для всех платформ, на которых установлены пакеты PyPI. Этот пакет был опубликован в июне 2024 года и содержал вредоносный URL-адрес, по которому загружались различные файлы, включая исполняемый файл .exe, упакованный с помощью PyInstaller. Файл .exe распаковывается для получения файлов .pyc, которые затем декомпилируются в файлы Python .py. Особенно проблемными оказались файлы
zlibxjson
Discord_token_grabber.py, get_cookies.py и password_grabber.py, предназначенные для кражи конфиденциальной информации.
Первый файл, Discord_token_grabber.py, имеет возможность извлечь токены Discord, которые используются для аутентификации пользователей в API Discord. Код ищет шаблоны, соответствующие форматам токенов, в локальных файлах и расшифровывает токены при необходимости. Затем код отправляет извлеченные токены и другую информацию о пользователе на сервер злоумышленника, что позволяет им получать несанкционированный доступ к учетной записи Discord.
Второй файл, get_cookies.py, целью имеет кражу файлов cookie из различных браузеров. Он также расшифровывает сохраненные данные при помощи главного ключа системы и отправляет скопированные данные на внешний сервер, что нарушает приватность и безопасность пользователей.
Оба файла содержат функциональность, позволяющую продолжить работу даже при неудачных попытках и своевременно обновляться, чтобы избежать обнаружения.
Indicators of Compromise
SHA256
- 348ee268ef62af51add78b46df9fe8e2bdf41166d19084af75498333e81e6f3b
- 589d438226abfec8f71ab7724c68011303f82febb6786fd0c57571b0769764f3
- f49ba791814001b3d4101685bfebb635cdaf3103407a08171bb5d6bbe3e79c77
- f7e8a57b54489b5b3de66a1d21534ced3d2a2fb1ce8d03c69d4672e62aa00dca
