Команда Checkmarx Security Research Team обнаружила вредоносный пакет Python под названием "lr-utils-lib" на PyPi, предназначенный для разработчиков macOS. В ходе атаки использовался поддельный профиль LinkedIn для возможной поддержки тактики социальной инженерии.
Вредоносная программа нацелена на системы macOS и пытается украсть учетные данные Google Cloud Platform, отправляя их на удаленный сервер. Вредоносная программа активируется при установке и находится в файле setup.py пакета Python. Сначала вредоносная программа проверяет, что она работает на системе macOS, а затем получает IOPlatformUUID устройства Mac, который является уникальным идентификатором, и хэширует его с помощью алгоритма SHA-256. Если в хэш-листе найдено совпадение, начинается процесс утечки данных.
В дополнение к вредоносному ПО был обнаружен поддельный профиль LinkedIn для "Lucid Zenith", который ложно утверждал, что является генеральным директором Apex Companies, LLC, что указывает на возможную тактику социальной инженерии. Существование этого профиля заставляет задуматься о возможных тактиках социальной инженерии, которые могли быть использованы вместе с вредоносным ПО.
Indicators of Compromise
Domains
- europe-west2-workload-422915.cloudfunctions.net