Зловредная Python-библиотека открывает бэкдоры в Windows, macOS и Linux

Татьяна Никитина 24 Мая 2022 - 16:10

Домашние пользователи

...

В публичном репозитории PyPI вновь найден вредоносный пакет с вводящим в заблуждение именем. Проведенный в Sonatype анализ показал, что pymafka загружает на компьютеры под Windows и Darwin (macOS) маячок Cobalt Strike, а в Linux пытается создать обратный шелл.

Имя pymafka было выбрано не случайно: оно похоже на PyKafka, популярный клиент кластера Apache Kafka, за которым числится более 4 млн загрузок на pypi.org. Зловред, автор которого использовал тайпсквоттинг, был выложен в паблик 17 мая; через пару дней поддельную библиотеку удалили, но пользователи PyPI успели скачать ее 325 раз.

Вредоносная атака, согласно Sonatype, начинается с запуска скрипта setup.py. Он определяет тип платформы и загружает с удаленного сервера компонент для обеспечения удаленного доступа к зараженному устройству.

В случае с Windows и macOS это Cobalt Strike Beacon, копия которого помещается в папку C:\Users\Public\ (Пользователи > Общие) или /var/tmp/ соответственно. Примечательно, что в Windows новый исполняемый файл прописывается как iexplorer.exe — еще один прием социальный инженерии, рассчитанный на невнимательность жертвы: легитимный процесс Microsoft Internet Explorer отображается как iexplore.exe, без конечной «r» в имени.

Обе версии маячка Cobalt Strike загружаются с одного и того же сервера (141.164.58[.]147, облачный хостинг Vultr) и пытаются установить соединение с китайским IP-адресом (39.106.227[.]92, выделен Alisoft, дочке Alibaba). По состоянию на 24 мая эту полезную нагрузку для Windows детектируют две трети антивирусов на VirusTotal, для macOS — половина.

На Linux-машинах setup.py пытается подключиться к IP 39.107.154[.]72 (тоже принадлежит Alibaba) и получить исполняемый файл для интерпретатора bash. Его содержимое определить не удалось: во время проведения анализа сервер был отключен. Скорее всего, выполнение команд было нацелено на создание обратного шелла.

Подобные сюрпризы в PyPI позволяют провести атаку на цепочку поставок и получить доступ к сетям жертв. Тем, кто успел скачать pymafka, рекомендуется немедленно удалить вредоносную библиотеку, проверить системы на наличие бэкдоров и впредь быть внимательнее при выборе компонентов для своих творений.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 07 Мая 2024 - 21:00

Linux Эксплойты Уязвимости программ Домашние пользователи Лаборатория Касперского

Уязвимости Linux стали в два раза чаще фигурировать в кибератаках

Как подсчитали специалисты «Лаборатории Касперского», число попыток эксплуатации уязвимостей в Linux выросло на 130% в сравнении с аналогичным периодом 2023 года.

В Kaspersky считают, что такая ситуация связана с ростом популярности Linux на рынке настольных операционных систем и, соответственно, пропорциональным ростом интереса киберпреступников к этой ОС.

По данным аналитиков, в 2023 году было зафиксировано 1213 критических уязвимостей, что в три раза превышает этот показатель за 2019-2022 годы (413).

Александр Колесников, эксперт по кибербезопасности в «Лаборатории Касперского», отметил, что пользователей Linux становится больше. Этим объясняется растущее число угроз для ОС.

При этом злоумышленников в первую очередь интересуют бреши в ядре системы, а также ошибки в софте, предоставляющим контроль над системой.

Долю любителей «пингвина», на чьих устройствах продукты Kaspersky заблокировали попытку атаки, специалисты отразили на инфографике: