Xinference на PyPI скомпрометирован: вредоносные версии похищают ключи доступа к облачным сервисам

Инцидент был обнаружен после того, как один из пользователей заметил подозрительное поведение системы при установке последней доступной версии пакета. Разработчики Xinference подтвердили факт взлома и настоятельно рекомендовали всем, кто использовал версии 2.6.0-2.6.2, немедленно откатиться до безопасной версии 2.5.0. Сама вредоносная нагрузка была добавлена в файл "__init__.py" через коммит, совершённый учётной записью XprobeBot 22 апреля 2026 года. Судя по истории активности, бот работал с октября 2025 года, после чего был скомпрометирован злоумышленниками.

Код внутри заражённых версий оказался сильно запутан. Основная логика скрыта за несколькими слоями обфускации: при импорте пакета в среду Python исполняется переменная "test", содержащая первую полезную нагрузку в кодировке base64. После декодирования раскрывается комментарий, в котором упоминается группировка TeamPCP, а также вторая закодированная строка, представляющая собой непосредственно инфостилер - программу для сбора конфиденциальной информации. Вторая полезная нагрузка собирает данные с машины, упаковывает их и отправляет на удалённый сервер управления по адресу "https://whereisitat[.]lucyatemysuperbox[.]space/".

Сообщили специалисты, проводившие анализ атаки, что извлечению подлежат следующие типы сведений: учётные данные AWS (включая содержимое AWS Secrets Manager), конфигурации Google Cloud Platform, токены и настройки Kubernetes, все переменные окружения, хранящиеся в памяти системы, SSH-ключи (как публичные, так и приватные), API-ключи и секреты, зашитые в файлах ".env" или конфигурациях, строки подключения к базам данных (SQL, Redis, MongoDB, LDAP), история команд терминала из ".bash_history" и ".zsh_history", SSL-сертификаты, информация о наличии криптовалютных кошельков (Bitcoin, Ethereum, Litecoin, Dogecoin, Monero и других), учётные данные почтовых сервисов Postfix и webhooks от Slack и Discord, а также системные метаданные - имена пользователей, сведения об устройстве, IP-адреса и сетевые интерфейсы.

Таким образом, вредоносная программа представляет собой универсальный сборщик информации, способный извлечь практически все секреты, которые могут храниться на машине разработчика или в CI/CD-окружении. Особую опасность представляет кража ключей от облачных provider'ов: имея доступ к AWS Secrets Manager или GCP-конфигурациям, злоумышленник может не только получить доступ к инфраструктуре жертвы, но и закрепиться в ней, а также распространиться на смежные сервисы.

Примечательно, что хотя в теле вредоносного кода найдено упоминание группы TeamPCP, представители этой группировки опубликовали в своём официальном аккаунте на платформе X заявление, в котором отрицают свою причастность к данному инциденту. Пока остаётся неясным, является ли упоминание TeamPCP попыткой подставы или же группировка действительно не имеет отношения к атаке. Эксперты по кибербезопасности не исключают, что злоумышленники могли использовать имя известной хакерской организации для отвлечения внимания или перекладывания ответственности.

Для практикующих специалистов по безопасности ситуация не является уникальной: число атак на цепочки поставок через компрометацию учётных записей мейнтейнеров в пакетных менеджерах растёт с каждым месяцем. Подобные инциденты демонстрируют, что даже уважаемые и широко используемые библиотеки не застрахованы от взлома. Рекомендуется немедленно проверить версии Xinference в своих проектах, откатиться до 2.5.0, а после этого выполнить ротацию всех ключей и секретов, которые могли быть скомпрометированы. Включение двухфакторной аутентификации для всех аккаунтов в облачных сервисах и пакетных репозиториях, а также закрепление зависимостей до конкретных безопасных версий должны стать стандартной практикой для снижения риска подобных атак в будущем.

URLs

• https://whereisitat.lucyatemysuperbox.space/

Affected Packages

• Xinference 2.6.0, 2.6.1, 2.6.2