Python-пакет pyronut превращает Telegram-ботов в точку входа для атакующих

Екатерина Быстрова 20 Марта 2026 - 11:32

...

Python-пакет pyronut превращает Telegram-ботов в точку входа для атакующих

В репозитории PyPI обнаружили вредоносный Python-пакет pyronut, который маскировался под библиотеку для работы с Telegram и превращал ботов в удобную точку входа для атакующих. Исследователи из Endor Labs пишут, что пакет выдавал себя за альтернативу популярному Pyrogram — фреймворку для Telegram MTProto API, который используется довольно широко.

Схема была не совсем классическим тайпсквоттингом: названия pyrogram и pyronut не так уж похожи.

Поэтому исследователи предполагают, что пакет, скорее всего, продвигали через чаты в Telegram, форумы или туториалы, где разработчики могли просто копировать команду установки, не слишком вчитываясь в метаданные.

Дополнительный красный флаг — автор скопировал описание легитимного проекта почти слово в слово, а в качестве исходного репозитория указал несуществующий GitHub-адрес.

Пакет прожил недолго, но этого вполне хватило. На PyPI успели появиться только три версии — 2.0.184, 2.0.185 и 2.0.186, обе были вредоносными. По данным исследователей, их обнаружили и отправили в карантин 18 марта 2026 года, так что окно заражения оказалось сравнительно коротким.

Особенно неприятно то, как именно работал pyronut. В отличие от многих зловредных пакетов, которые срабатывают ещё во время установки, здесь полезная нагрузка активировалась только при запуске Telegram.

Злоумышленник модифицировал метод Client.start() так, чтобы тот незаметно подтягивал скрытый модуль и запускал бэкдор, при этом все ошибки молча подавлялись, а приложение со стороны выглядело нормально.

Дальше начиналось самое интересное. Бэкдор регистрировал скрытые обработчики команд /e и /shell, которые принимались только от двух заранее зашитых Telegram-аккаунтов атакующего.

Команда /e фактически превращала заражённого бота в удалённую Python-консоль с доступом к объектам клиента, чатам, контактам, истории сообщений и низкоуровневым API Telegram. А /shell давала уже более привычный доступ к системе: произвольные команды передавались в /bin/bash -c, а результаты возвращались злоумышленнику через сам Telegram.

Если такой пакет попадал в рабочее окружение, атакующий получал сразу два бонуса: контроль над сессией в Telegram и возможность выполнять команды на самом хосте, где крутится Python-процесс. А это уже дорога к краже токенов, ключей, файлов конфигурации и дальнейшему закреплению в инфраструктуре.

Специалисты рекомендуют проверить зависимости на наличие pyronut этих версий, посмотреть, не подтягивалась ли библиотека meval, и отдельно поискать подозрительные дочерние процессы вида /bin/bash -c, запущенные из Python-приложений. Если пакет всё же оказался в окружении, исследователи советуют отзывать Telegram-сессии, перевыпускать токены ботов и менять все потенциально засвеченные секреты.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 20 Марта 2026 - 09:37

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Объем рекламы в Telegram вырос благодаря ограничениям

После 10 февраля в Telegram начался заметный рекламный всплеск. Объём затрат на рекламу в мессенджере вырос на 50% год к году. Рекламодатели, судя по всему, стараются запустить кампании, пока такая возможность ещё сохраняется.

Такие выводы содержатся в исследовании сервиса CloudBuying, результаты которого приводит «Коммерсантъ». В выборку вошли более 7,6 млн упоминаний, а их суммарный объём просмотров превысил 45 млрд.

Сразу после 10 февраля, когда началось замедление Telegram, количество публикаций выросло на 15–20% по сравнению с началом года и на 50% в годовом выражении. Число рекламных постов доходило до 50–52 тыс. в день, тогда как в январе этот показатель не превышал 40 тыс.

Стоимость одного размещения составляет от 20 тыс. до 80 тыс. рублей в небольших каналах с аудиторией 10–50 тыс. подписчиков и от 250–300 тыс. рублей и выше — в крупных. Наибольшую активность проявили рекламодатели из сфер ретейла, маркетплейсов, финансов и страхования. Также в числе лидеров по росту вложений оказались медицина, медиа и СМИ.

В CloudBuying связывают рост активности с тем, что рекламодатели ускоряли кампании, опасаясь дальнейшего усиления ограничений. Однако уже в марте число публикаций начало снижаться до 40–45 тыс. в день. Не исключено, что на это повлияло решение ФАС, признавшей незаконной рекламу на замедленных ресурсах.

«Рынок получил сигнал о возможных ограничениях, что спровоцировало краткосрочный ажиотажный спрос: рекламодатели стремятся реализовать кампании в марте, пока такая возможность сохраняется», — считает коммерческий директор CloudBuying Кирилл Кудрявцев.

«С февраля часть брендов стала быстрее принимать решения по размещениям, а также переносить интеграции на более ранние даты, чтобы минимизировать риски срыва кампаний. Это особенно заметно в проектах с фиксированными дедлайнами и у крупных рекламодателей. При этом речь скорее идёт о краткосрочной реакции рынка на неопределённость, чем о системном росте спроса», — отметила президент Ассоциации блогеров и агентств Юлия Долгова.

«Telegram сегодня сложно заменить одним каналом. Переход — это не просто перенос бюджета, а фактически новая сборка всей связки: инвентаря, аналитики, контента, таргетинга и прогноза по эффективности. Для многих рекламодателей это дольше, дороже и рискованнее, чем продолжать работать в Telegram даже с поправкой на турбулентность и дальнейшую неопределённость», — полагает генеральный директор диджитал-агентства D-Agency Игорь Демидов.

По данным рынка, спрос на размещения в Telegram Ads в России в марте вырос в среднем на 68% по сравнению с аналогичным периодом 2025 года. Исполнительный директор МТС AdTech Татьяна Матвеева связала это со снижением стоимости тысячи показов на 30%.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!