Вредоносные пакеты в PyPi превращают Discord в похищающий данные бэкдор

Вредоносные пакеты в PyPi превращают Discord в похищающий данные бэкдор

Вредоносные пакеты в PyPi превращают Discord в похищающий данные бэкдор

Более десяти пакетов в каталоге PyPi устанавливают в систему жертвы вредоносную составляющую, модифицирующую клиент Discord. В результате система обмена сообщениями превращается в инфостилер, который может воровать данные из браузеров и Roblox.

В общей сложности исследователи из компании Snyk насчитали 12 злонамеренных пакетов, которые пользователь под ником “scarycoder“ загрузил в Python Package Index (PyPI) 1 августа 2022 года.

Интересно, что в этот раз автор пакетов отошёл от популярной практики — подставлять имена, похожие на легитимный софт. Напомним, что этот метод помогает атаковать тех разработчиков, которые опечатываются при поиске известных пакетов.

Злоумышленник “scarycoder“ использовал собственные имена и предлагал различным девелоперам попробовать их в деле. Ниже приводим список всех злонамеренных пакетов:

 

Пакеты рекламировались как инструменты для Roblox и модули для хакинга, однако по факту не обеспечивали заявленной функциональности. Вместо этого они устанавливали в систему жертвы вредоносную составляющую, крадущую пароли. Поскольку пакеты до сих пор присутствуют в каталоге, разработчикам стоит быть внимательными.

Специалисты Snyk проанализировали один из вредоносных пакетов, получивший имя “cyphers“ и выяснили, что вредоносный код кроется в файле “setup.py“. Именно он инсталлирует два других исполняемых файла — “ZYXMN.exe” и “ZYRBX.exe” — с сервера Discord CDN.

ZYXMN.exe используется для кражи данных из браузеров Google Chrome, Chromium, Microsoft Edge, Firefox и Opera, включая сохранённые пароли, историю посещения сайтов и поиска, а также cookies.

Для этого вредонос расшифровывает мастер-ключ локальной БД интернет-обозревателя и вытаскивает все необходимые данные в виде простого текста. После этого скомпрометированная информация загружается на сервер злоумышленников посредством Discord-вебхука.

Стоит ещё отметить и другую интересную особенность: зловред модифицирует JavaScript-файлы, которые использует клиент Discord. Таким способом внедряется бэкдор, крадущий данные самого Discord-аккаунта. В частности, меняется index.js в директории discord_desktop_core.

 

Напомним, что буквально на днях в PyPi нашли очередные вредоносные пакеты, запускающие DDoS на российский сервер Counter-Strike. В этом месяце также в каталог просочились десять вредоносных пакетов, загружающих инфостилер.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru