В каталог PyPI просочились 10 вредоносных пакетов, загружающих инфостилер

Екатерина Быстрова 09 Августа 2022 - 10:32

...

В каталог PyPI просочились 10 вредоносных пакетов, загружающих инфостилер

Администраторы каталога Python-софта — Python Package Index (PyPI) удалили десять вредоносных пакетов. Это очередной случай, подтверждающий тенденцию размещения злонамеренного софта в популярных репозиториях.

Скорее всего, размещая вредоносных код на всем известных площадках (PyPI, Node Package Manager (npm) и Maven Central), злоумышленники преследуют цель — скомпрометировать сразу много организаций.

Специалисты по кибербезопасности предупреждают разработчиков о необходимости тщательно проверять код перед его загрузкой даже из проверенного репозитория.

На новый набор вредоносных пакетов в PyPI обратили внимание исследователи из Spectralops.io (принадлежит Check Point). Как выяснили эксперты, зловреды представляли собой дропперы для загрузки вредоносной программы, похищающей данные пользователя.

Авторы пакетов сознательно старались придать им максимально легитимный вид, а в некоторых случаях — даже замаскировать под другие популярные пакеты, размещенные в PyPI.

В Check Point отметили, что злоумышленники встроили вредоносный код в скрипт инсталлятора пакетов. Когда разработчик запускал команду “pip”, злонамеренная составляющая запускалась незаметно для него и в фоне устанавливала дроппер.

В качестве примера исследователи приводят пакет “Ascii2text”, у которого вредоносный код содержался в файле “_init_.py“, который импортировался скриптом “setup.py“. Как только разработчик пытался установить пакет, код злоумышленников загружал и выполнял скрипт, задача которого — собрать пароли и выгрузить их на Discord-сервер. По словам Check Point, вредоносный пакет был точной копией популярного, даже полностью копировал имя и описание.

Три из девяти выявленных пакетов — Pyg-utils, Pymocks и PyProto2 — создал один и тот же злоумышленник. Команда Check Point ещё раз подчеркнула, насколько важно для девелоперов проверять загружаемый код.

Напомним, на днях мы писали о школьнике из Вероны, который ради фана и эксперимента загрузил шифровальщик в PyPI-репозиторий. А в середине марта популярный NPM-пакет вдруг стал вредоносным и начал портить файловые системы из России и Белоруссии.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 29 Октября 2025 - 18:49

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Минэк России беспокоит несовершенство регулирования работы с ИИ

Выступая на проходящем в Москве форуме ЦИФРАПРАВА, директор департамента цифрового развития и экономики данных Минэкономразвития РФ Владимир Волошин поднял вопрос о проблемах внедрения и коммерческого использования ИИ.

Внедрение ИИ в повседневные сервисы, по словам спикера, не всегда оправданно и может создать дополнительные сложности для пользователей.

«Звонишь в клинику и минут десять пытаешься доказать, что ты человек и что тебе нужен человек», — цитирует РБК выступление представителя министерства.

В качестве примера Волошин также привел инцидент с беспилотным авто в Санкт-Петербурге, спровоцировавшим легкое ДТП: его разбор потребовал созыва специальной комиссии. К слову, похожий случай недавно произошел в Калифорнии — полицейские не смогли выписать тикет за нарушение ПДД, так как в машине не оказалось водителя.

Проблема, способная затормозить развитие ИИ-технологий в стране, требует корректировок на законодательном уровне, считает докладчик. Из-за несовершенства регулирования сферы ИИ российские бизнесмены почти не используют большие языковые модели, опасаясь возможной кары за нарушение требований ИБ.

Для исправления ситуации представитель Минэка предложил создать экспериментальные правовые режимы, позволяющие бизнес-структурам апробировать методы обезличивания данных и работать с большими моделями в безопасной регуляторной среде.

Минпромторг тоже выступает за совершенствование регулирования сферы ИИ и даже разработал проект универсального законодательного акта. А в Госдуме создали межфракционную рабочую группу для выработки принципов регулирования ИИ, предложений по отраслевому применению таких технологий и по противодействию злоупотреблениям ИИ.