Зловредная Python-библиотека открывает бэкдоры в Windows, macOS и Linux

Татьяна Никитина 24 Мая 2022 - 16:10

Домашние пользователи

...

В публичном репозитории PyPI вновь найден вредоносный пакет с вводящим в заблуждение именем. Проведенный в Sonatype анализ показал, что pymafka загружает на компьютеры под Windows и Darwin (macOS) маячок Cobalt Strike, а в Linux пытается создать обратный шелл.

Имя pymafka было выбрано не случайно: оно похоже на PyKafka, популярный клиент кластера Apache Kafka, за которым числится более 4 млн загрузок на pypi.org. Зловред, автор которого использовал тайпсквоттинг, был выложен в паблик 17 мая; через пару дней поддельную библиотеку удалили, но пользователи PyPI успели скачать ее 325 раз.

Вредоносная атака, согласно Sonatype, начинается с запуска скрипта setup.py. Он определяет тип платформы и загружает с удаленного сервера компонент для обеспечения удаленного доступа к зараженному устройству.

В случае с Windows и macOS это Cobalt Strike Beacon, копия которого помещается в папку C:\Users\Public\ (Пользователи > Общие) или /var/tmp/ соответственно. Примечательно, что в Windows новый исполняемый файл прописывается как iexplorer.exe — еще один прием социальный инженерии, рассчитанный на невнимательность жертвы: легитимный процесс Microsoft Internet Explorer отображается как iexplore.exe, без конечной «r» в имени.

Обе версии маячка Cobalt Strike загружаются с одного и того же сервера (141.164.58[.]147, облачный хостинг Vultr) и пытаются установить соединение с китайским IP-адресом (39.106.227[.]92, выделен Alisoft, дочке Alibaba). По состоянию на 24 мая эту полезную нагрузку для Windows детектируют две трети антивирусов на VirusTotal, для macOS — половина.

На Linux-машинах setup.py пытается подключиться к IP 39.107.154[.]72 (тоже принадлежит Alibaba) и получить исполняемый файл для интерпретатора bash. Его содержимое определить не удалось: во время проведения анализа сервер был отключен. Скорее всего, выполнение команд было нацелено на создание обратного шелла.

Подобные сюрпризы в PyPI позволяют провести атаку на цепочку поставок и получить доступ к сетям жертв. Тем, кто успел скачать pymafka, рекомендуется немедленно удалить вредоносную библиотеку, проверить системы на наличие бэкдоров и впредь быть внимательнее при выборе компонентов для своих творений.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »