Вирус под видом помощи: новый способ заражения разработчиков на Stack Overflow

Злоумышленники нашли новый способ распространения вредоносного ПО через Stack Overflow – отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi -пакет, который заражает компьютеры и похищает конфиденциальную информацию.

Sonatype обнаружила новый вредоносный PyPi-пакет, связанный с уже известной кампанией «Cool package». Кампания, начавшаяся в прошлом году, нацелена на пользователей Windows и использует пакет под названием «pytoileur».

Пакет был загружен злоумышленниками на репозиторий PyPi под видом инструмента для управления API. Примечательно, что у пакета есть подпись «Cool package», указывающая, что он является частью текущей кампании.

Вредоносный пакет PyToileur

Киберпреступники используют метод Typosquatting, давая вредоносным пакетам имена, похожие на популярные названия, чтобы обмануть пользователей. На этот раз атакующие пошли дальше, начав продвигать свой пакет через ответы на вопросы пользователей Stack Overflow, представляя пакет как решение для различных проблем.

Ответ пользователя EstAYA G на проблему, продвигающий вредоносный пакет

Stack Overflow является одной из крупнейших платформ для программистов, что делает её идеальной средой для распространения вредоносных программ, замаскированных под полезные инструменты и библиотеки.

В пакете «pytoileur» содержится файл «setup.py», который скрывает команду, зашифрованную в base64, с помощью добавления пробелов, что делает её незаметной, если не включить перенос слов в текстовом редакторе.

Запутанная команда для выполнения в setup.py

После деобфускации команда скачивает и выполняет исполняемый файл «runtime.exe» с удаленного сайта. Файл на самом деле является Python-программой, преобразованной в «.exe», и выполняет функции стилера.

Вредоносное ПО собирает куки, пароли, историю браузера, данные кредитных карт и другие сведения из веб-браузеров, а также ищет в документах специфические фразы и при их обнаружении также крадет данные. Вся собранная информация отправляется обратно злоумышленникам, которые могут продавать её в даркнете или использовать для дальнейшего взлома аккаунтов жертв.

Хотя вредоносные пакеты и инфостилеры не являются чем-то новым, данная стратегия киберпреступников, выдающих себя за участников на Stack Overflow, заслуживает особого внимания. Такой метод позволяет использовать доверие и авторитет платформы в сообществе разработчиков.