04.11.2022 | 29 пакетов PyPI распространяют инфостилеры |
Исследователи компании Phylum обнаружили в реестре PyPI 29 пакетов Python с запутанным кодом, которые имитируют популярные библиотеки, но вместо этого сбрасывают инфостилер W4SP на зараженные машины, а другие пакеты используют вредоносное ПО GyruzPIP, предположительно созданное только для «образовательных целей».
Пакеты содержат намеренные опечатки в названии ( Typosquatting ), чтобы быть похожими на известные библиотеки Python в надежде, что разработчики, пытающиеся найти настоящую библиотеку, сделают орфографическую ошибку и непреднамеренно загрузят одну из вредоносных. Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в исправную кодовую базу пакета.
Один из пакетов «typesutil», доставляющий инфостилер W4SP Преимущество от копирования настоящего пакета заключается в том, целевая страница PyPI для пакета создается из «setup.py» и «README.md», поэтому киберпреступники сразу получают реальную целевую страницу с рабочими ссылками. Если пользователь не проверит страницу внимательно, он может подумать, что это легитимный пакет. Исследователи Phylum заявили, что все пакеты были загружены более 5700 раз. По словам экспертов, во время исследования им пришлось анализировать запутанный код, охватывающий более 71 000 символов.
Обфусцированный код Python
Ранее стало известно о вредоносной кампании с использованием сети из более 200 доменов , имитирующих 27 брендов, которые принуждают пользователей загружать вредоносные программы для Windows и Android. Домены в этой кампании создавались с намеренными ошибками в названии при помощи техники «typosquatting». |
Проверить безопасность сайта