Команда HelixGuard 19 ноября 2025 года обнаружила в репозитории PyPI (Python Package Index) вредоносный пакет spellcheckers, который маскируется под популярную библиотеку проверки орфографии. Этот пакет содержит многослойный зашифрованный бэкдор, предназначенный для кражи информации о криптовалютах пользователей. Злоумышленники используют те же инфраструктурные элементы, что и в ранее зафиксированных атаках с имитацией рекрутеров.
Описание
Атака начинается с установки пользователем поддельного пакета, который замаскирован под легитимный инструмент pyspellchecker с более чем 18 миллионами загрузок. На момент обнаружения вредоносная версия уже была скачана более 950 раз. Первоначально код выполняет Base64-закодированную полезную нагрузку из скрытого файла ma_IN.index. Затем устанавливается соединение с контролируемым злоумышленниками сервером dothebest.store для загрузки второй стадии атаки.
Второй этап представляет собой полнофункциональный троян удаленного доступа, способный выполнять произвольные команды на компьютере жертвы. Особенностью этой атаки является использование многоуровневого шифрования и специальных протоколов для скрытия вредоносной активности. Например, коммуникация с сервером управления шифруется с помощью XOR, а передаваемые данные дополнительно кодируются в Base64.
Эксперты отмечают, что эта кампания демонстрирует эволюцию тактик злоумышленников, ориентированных на криптовалюты. Теперь они расширили поверхность атаки, перенеся ее в программные репозитории. Атака цепочки поставок представляет особую опасность, поскольку пользователи доверяют официальным источникам пакетов.
Технический анализ показал, что вредоносный код использует несколько методов противодействия обнаружению. Во-первых, полезная нагрузка скрыта внутри функциональных модулей. Во-вторых, применяется двойное декодирование с подавлением исключений. В-третьих, сетевые коммуникации используют кастомный протокол.
Бэкдор обладает широкими возможностями для удаленного управления системой. Он может выполнять произвольный Python-код через функцию exec(), что дает злоумышленникам практически неограниченный контроль над зараженным компьютером. При этом процесс работает в фоновом режиме, скрывая свою активность от пользователя.
Специалисты по безопасности рекомендуют разработчикам тщательно проверять источники устанавливаемых пакетов. Также следует обращать внимание на незначительные различия в названиях зависимостей. Регулярное обновление средств защиты и мониторинг сетевой активности помогут своевременно обнаружить подозрительные действия.
Данный инцидент подчеркивает важность проверки целостности программного обеспечения перед установкой. Особенно это актуально для проектов, связанных с обработкой финансовой информации или криптовалютными операциями. Команда HelixGuard уведомила администрацию PyPI о вредоносном пакете, и он был удален из репозитория.
Распространение вредоносных пакетов через официальные репозитории становится все более распространенной тактикой киберпреступников. Только за последний год было зафиксировано несколько десятков подобных инцидентов. Поэтому организациям следует усилить контроль за используемыми зависимостями и внедрить процедуры проверки стороннего кода.
Эксперты прогнозируют дальнейший рост сложности атак на цепочки поставок программного обеспечения. Злоумышленники будут совершенствовать методы маскировки и использовать более изощренные схемы внедрения бэкдоров. Следовательно, требуется развитие специализированных систем защиты, способных обнаруживать подобные угрозы на ранних стадиях.
Индикаторы компрометации
URLs
- dothebest.store/allow/inform.php
- dothebest.store/refresh.php
