Команда Checkmarx Security Research Team выявила опасный пакет Python под названием "lr-utils-lib", размещенный в репозитории PyPi. Этот пакет был замаскирован под полезную библиотеку для разработчиков macOS, но на самом деле содержал вредоносный код, предназначенный для кражи учетных данных Google Cloud Platform (GCP). Атака сопровождалась элементами социальной инженерии, включая поддельный профиль LinkedIn, что делает ее особенно изощренной и опасной.
Описание
Вредоносный код активируется сразу после установки пакета, скрываясь в файле setup.py. Первым делом программа проверяет, работает ли она на системе macOS, чтобы избежать запуска на других платформах. Затем она собирает уникальный идентификатор устройства - IOPlatformUUID, хэширует его с помощью алгоритма SHA-256 и сравнивает с заранее подготовленным списком. Если совпадение обнаружено, начинается процесс утечки данных, при котором украденные учетные данные GCP отправляются на удаленный сервер, контролируемый злоумышленниками.
Особую тревогу вызывает тот факт, что атака сопровождалась элементами социальной инженерии. Исследователи обнаружили поддельный профиль LinkedIn под именем "Lucid Zenith", который выдавал себя за генерального директора компании Apex Companies, LLC. Вероятно, этот профиль использовался для придания доверия вредоносному пакету, убеждая потенциальных жертв в его легитимности. Подобные тактики социальной инженерии значительно повышают эффективность атак, так как разработчики, доверяя авторитетному источнику, могут не задумываться о возможных угрозах.
Атака нацелена именно на разработчиков, работающих с облачными сервисами Google, что делает ее особенно опасной. Утечка учетных данных GCP может привести к серьезным последствиям, включая компрометацию корпоративных облачных инфраструктур, утечку конфиденциальных данных и даже финансовые потери. Кроме того, использование поддельного профиля LinkedIn указывает на то, что злоумышленники тщательно продумали стратегию, чтобы обойти стандартные меры безопасности и внушить доверие жертвам.
Эксперты по кибербезопасности рекомендуют разработчикам macOS проявлять особую осторожность при установке сторонних пакетов из открытых репозиториев, таких как PyPi. Важно проверять репутацию авторов, изучать отзывы и анализировать исходный код перед установкой. Кроме того, стоит использовать инструменты статического анализа кода и системы мониторинга угроз, чтобы своевременно выявлять подозрительную активность.
Данный инцидент в очередной раз демонстрирует, насколько изощренными становятся кибератаки, сочетающие технические уязвимости и методы социальной инженерии. Разработчикам и компаниям необходимо постоянно повышать уровень осведомленности о киберугрозах и внедрять многоуровневые системы защиты, чтобы минимизировать риски. В противном случае даже один вредоносный пакет может привести к катастрофическим последствиям для бизнеса и личных данных пользователей.
На данный момент пакет "lr-utils-lib" удален из PyPi, однако исследователи предупреждают, что аналогичные атаки могут повториться. Злоумышленники постоянно ищут новые способы обхода защиты, и только комплексный подход к безопасности позволит эффективно противостоять таким угрозам.
Индикаторы компрометации
Indicators of Compromise
Domains
- europe-west2-workload-422915.cloudfunctions.net
Emails
- lucid.zeniths.0j@icloud.com
