| 0 |
|
Компанія Eset виявила шкідливі проєкти Python, які поширюються через офіційне сховище пакетів PyPI. Загроза, націлена на системи Windows та Linux, зазвичай поширює спеціальний бекдор із можливостями кібершпигунства. Він дозволяє віддалено виконувати команди та викрадати файли, а іноді включає можливість робити знімки екрана.
Спеціалісти Eset виявили 116 файлів, які містять шкідливе програмне забезпечення, у 53 проєктах. За рік користувачі завантажили ці файли понад 10 тис. разів, а кількість встановлень на день з травня 2023 року досягала близько 80.
Сервіс PyPI популярний серед програмістів Python для обміну та завантаження коду. Оскільки будь-хто може зробити зміни у сховищі, з’являється шкідливе програмне забезпечення, яке маскується під популярні легітимні бібліотеки коду.
На сьогодні більшість шкідливих пакетів уже було видалено PyPI. Однак після цього спеціалісти Eset зв’язалися з PyPI, щоб вжити заходів щодо пакетів, які залишилися. Наразі всі виявлені пакети перебувають у режимі офлайн.
Компанія Eset проаналізувала три методи додавання шкідливого коду в пакети Python, які використовують зловмисники. Перший спосіб – розміщення нібито тестового модуля зі злегка заплутаним кодом всередині пакета. Друга техніка – вбудовування коду PowerShell у файл setup.py, який зазвичай запускається автоматично, щоб допомогти встановити проєкти Python. У третьому методі зловмисники не докладають зусиль для включення легітимного коду в пакет, використовуючи лише шкідливий код у злегка заплутаній формі.
Як правило, кінцевим компонентом є спеціальний бекдор, здатний віддалено виконувати команди, викрадати файли та іноді робити знімки екрана. У Windows його реалізовано на Python, а у Linux – мовою програмування Go. У деяких випадках замість бекдора використовується загроза W4SP Stealer або простий інструмент для буфера обміну для крадіжки криптовалюти Bitcoin, Ethereum, Monero та Litecoin чи обидва варіанти.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
