| 0 |
|
Специалист по программной безопасности, известный под онлайновым ником Bertus, обнаружил в официальном регистре Python Package Index (PyPI) 12 поддельных библиотек Python, скрывающих в себе вредоносный код. Эти пакеты были найдены за два сканирования ( 11 библиотек — 13 октября и ещё одна — 21 октября) и до этой публикации были удалены из PyPI.
Все они следуют одной и той же схеме. Авторы копировали код популярных пакетов и создавали новые библиотеки со слегка изменёнными названиями. Например, имена четырех из найденных пакетов (diango, djago, dajngo, djanga) это искажённые варианты названия очень популярного фреймворка Django.
Файлы setup.py этих, в остальном вполне работоспособных пакетов, содержат вредоносный код. Установщики библиотек Python, такие как pip, автоматически выполняют имеющиеся в setup.py инструкции в ходе загрузки и инсталлирования нового пакета внутри проекта Python.
Функциональная нагрузка вредоносных включений варьируется от библиотеки к библиотеке. Первые 11 пакетов пытаются собирать данные об инфицированной среде, получать загрузочные приоритеты или даже открывать обратную оболочку на удалённых рабочих станциях.
Последний пакет под именем «colourama» взламывает буфер обмена ОС и каждые 500 мс сканирует его в поисках последовательностей, напоминающих адрес Bitcoin. Затем, colourama заменяет их своим адресом в попытке перехватывать криптовалютные платежи/транзакции пользователя заражённой машины.
Этот пакет тоже маскируется под популярную библиотеку Python, colorama.
Согласно статистике PyPI Stats, фальшивый пакет успело загрузить 54 пользователя прежде чем он был удалён из репозитория. Bitcoin-адрес хакера содержит эквивалент $40, но последний перевод был им получен ещё в апреле, то есть пакет colourama, скорее всего не успел принести своему автору какие-либо деньги.
Все упомянутые 12 пакетов Bertus обнаружил, используя написанный им сканер, который ищет библиотеки с «опечатками» в названиях. Толчок к созданию этой программы дало сообщение Словацкого Национального Офиса Безопасности, который в прошлом году предупредил о десяти вредоносных библиотеках с «опечатками», найденных в PyPI.
Bertus совершенствует свой сканер и планирует сделать сканирования более регулярными. Он также подумывает о расширении сервиса на другие репозитории, такие как RubyGems или JavaScript npm. В августе 2017 г. шведский разработчик обнаружил 38 «опечаточных» библиотек Javascript, загруженных на npm.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
