Два поддельных пакета, размещенных в репозитории Python Package Index (PyPI), содержали вредоносный сценарий для кражи данных с компьютера пользователя.

Авторы назвали свои фальшивки созвучно легитимным библиотекам, чтобы заставить авторов приложений включить зловред в состав продуктов или запустить его на своем устройстве. После обращения автора опасной находки модераторы хранилища удалили из него файлы, содержавшие криминальный код.

Вредоносные Python-инструменты выдавали себя за легитимные разработки

Один из троянизированных пакетов маскировался под распространенную библиотеку Jellyfish — преступники слегка изменили имя файла, заменив одну из латинских букв l заглавной i. Подделка содержала оригинальный код легитимной программы, предназначенной для фонетического сопоставления текстовых строк, и могла выполнять все заявленные функции Jellyfish. Как выяснили ИБ-аналитики, злоумышленники добавили в текст сценарий, который искал на устройстве ключи SSH и GPG, после чего отправлял их на сервер киберпреступников.

Как показал анализ зловреда, командный центр также получал список папок и перечень Python-проектов жертвы. Скорее всего, эта информация была нужна атакующим для сопоставления с украденными учетными данными. Зараженная библиотека пролежала в репозитории PyPI около года — файл был загружен в архив 11 декабря 2018-го.

Второй вредоносный пакет назывался python3-dateutil — по аналогии с легитимным расширением python-dateutil для библиотеки datetimes, предназначенной для выполнения операций с датами. Эта фальшивка не содержала прямых включений вредоносного кода, а просто через импорт загружала и выполняла модифицированный вариант Jellyfish.

Зловредное расширение было добавлено в хранилище 29 ноября этого года и почти сразу привлекло внимание пользователей репозитория. Очевидно, автор зловреда надеялся на более широкое распространение своей разработки, однако добился обратного эффекта. Участники PyPI-сообщества быстро обнаружили подделку и сообщили о ней администрации сервиса.

В 2017 году ИБ-специалисты из Словакии нашли в официальном хранилище Python-кодов десять скриптов, нацеленных на похищение данных с компьютера жертвы. Авторы программ также использовали тайпсквоттинг, маскируясь под легитимные приложения. Так, распространенный сценарий urllib3 имел криминального двойника urlib3, а имя библиотеки acquisition злоумышленники при клонировании видоизменили как acqusition.

Категории: Вредоносные программы