Злоумышленники атакуют PyPI: вредоносный пакет "chimera-sandbox-extensions" угрожает пользователям Chimera Sandbox

Анализ показал, что пакет использует сложный алгоритм генерации доменов (DGA) для установки связи с управляющим сервером. При запуске код пытается подключиться к одному из десяти сгенерированных доменов, из которых только один оказывается активным. В случае успешного соединения загружается и исполняется вредоносная нагрузка.

Первая стадия атаки включает получение токена аутентификации, после чего злоумышленники загружают второй этап - Python-код, предназначенный для сбора данных. Этот модуль собирает информацию о системе, включая конфигурацию Zscaler, данные AWS, IP-адреса и другие сведения, которые затем отправляются на сервер злоумышленников.

Особенностью этой атаки является ее многоэтапность и целенаправленность на корпоративные и облачные среды. В отличие от типичных вредоносных пакетов, этот эксплойт фокусируется на инфраструктурных данных, что делает его особенно опасным для организаций.

Команда JFrog оперативно сообщила о находке модераторам PyPI, и пакет был удален. Однако этот инцидент в очередной раз подчеркивает важность проверки сторонних зависимостей и необходимость постоянного мониторинга угроз в открытых репозиториях. Пользователям рекомендуется устанавливать только проверенные пакеты из надежных источников и регулярно обновлять инструменты безопасности.

URLs

• 0l3qvp0sl3r5rgtl.chimerasandbox.workers.dev/auth
• 4hhmng1s9zobe8gk.chimerasandbox.workers.dev/auth
• au6ewri21q4jcokh.chimerasandbox.workers.dev/auth
• bmehxcvbijyfpdg7.chimerasandbox.workers.dev/auth
• covnn2rvaagchcq1.chimerasandbox.workers.dev/auth
• qn2q3zr7js6ubls6.chimerasandbox.workers.dev/auth
• tnt69eqbib53nbj3.chimerasandbox.workers.dev/auth
• tpur5v4nwlv62e7f.chimerasandbox.workers.dev/auth
• twdtsgc8iuryd0iu.chimerasandbox.workers.dev/auth
• x403y4difmiagvoo.chimerasandbox.workers.dev/auth