Новая атака на цепочку поставок: десятки пакетов PyPI грузят инфостилер

Новая атака на цепочку поставок: десятки пакетов PyPI грузят инфостилер

Новая атака на цепочку поставок: десятки пакетов PyPI грузят инфостилер

Исследователи из стартапа Phylum обнаружили в каталоге PyPI около 30 пакетов, доставляющих инфостилер W4SP. По состоянию на 1 ноября вредоносный софт суммарно собрал свыше 5700 загрузок.

Вредоносные пакеты в рамках текущей атаки на цепочку поставок начали плодиться на PyPI с середины прошлого месяца; 22 октября был зафиксирован мощный вброс. Несколько находок с теми же IoC датировались июлем — по всей видимости, проба пера.

Анализ показал, что злоумышленники просто копируют популярные библиотеки и внедряют в базовый код инструкцию import. В большинстве случаев этот сильно обфусцированный фрагмент вставляется в setup.py или the __init__.py.

Имена вредоносных пакетов выглядят вполне невинно, иногда используется тайпсквоттинг. Список опасных находок (29 позиций) приведен в блог-записи Phylum; все перечисленные в нем проекты загружают трояна W4SP.

Два похожих пакета — pystile и threadings — недавно нашел на PyPI программист и исследователь Хауке Любберс (Hauke Lübbers). Оба содержат вредоносный код GyruzPIP, созданный на основе opensource-проекта EvilPIP (выложен на PyPI с пометкой «использовать только в образовательных целях»).

Для тестирования зловреда вирусописатели создали два репозитория на GitHub. Разбор кода GyruzPIP, проведенный в BleepingComputer, выявил функции инфостилера, такие как кража токенов Discord, паролей и куки из Chrome, вывод краденых данных на удаленный сервер через вебхук Discord.

Подобные находки на PyPI нередки, а в минувшем августе наблюдалось большое разнообразие. Исследователи обнаружили в открытом репозитории Python-пакеты, доставляющие бэкдоры, инфостилеры и даже DDoS-бот.

Одолжили смартфон незнакомцу — рискуете потерять доступ к банку, Госуслугам

Мошенники придумали еще один способ залезть в чужую цифровую жизнь — без звонков из банка, угроз и театра с безопасным счетом. Теперь они могут просто подойти в людном месте и попросить телефон: мол, свой разрядился, потерялся или срочно нужно вызвать такси. Проблема в том, что разблокированный смартфон сегодня — это не просто трубка для звонков.

В нем банки, почта, мессенджеры, «Госуслуги», личные кабинеты, коды подтверждения и куча персональных данных.

Как предупредил сенатор Артем Шейкин, злоумышленнику иногда достаточно нескольких минут, чтобы залезть в настройки, включить переадресацию вызовов, проверить сообщения или попытаться получить доступ к уведомлениям. После этого звонки от банков, сервисные сообщения и коды подтверждения могут начать приходить уже не владельцу телефона.

Самое неприятное — человек может не сразу понять, что его канал связи фактически перехватили. Внешне всё не вызывает подозрений: никто не требует денег и не представляется сотрудником службы безопасности.

Помогать людям сенатор не запрещает, но советует не выпускать смартфон из рук. Лучше самому набрать номер и включить громкую связь. Давать незнакомцу доступ к мессенджерам, СМС и настройкам точно не стоит.

Если ситуация кажется мутной, безопаснее отправить просителя к охране, полиции или сотрудникам торгового центра. А после подозрительного эпизода лучше проверить переадресацию, активные сессии в аккаунтах и убедиться, что звонки и СМС по-прежнему приходят именно вам.

RSS: Новости на портале Anti-Malware.ru