03/11/22
Исследователи компании Phylum обнаружили в реестре PyPI 29 пакетов Python с запутанным кодом, которые имитируют популярные библиотеки, но вместо этого сбрасывают инфостилер W4SP на зараженные машины, а другие пакеты используют вредоносное ПО GyruzPIP, предположительно созданное только для «образовательных целей».
- Инфостилер W4SP извлекает токены Discord, cookie-файлы и сохраненные пароли;
- Вредоносное ПО GyruzPIP основано на open-source проекте evil-pip, опубликованном «только в образовательных целях». GyruzPIP предназначен для кражи паролей Chrome, cookie-файлов, токенов Discord и загрузки всех собранных данных в веб-перехватчик Discord (Discord Webhook).
Пакеты содержат намеренные опечатки в названии (Typosquatting), чтобы быть похожими на известные библиотеки Python в надежде, что разработчики, пытающиеся найти настоящую библиотеку, сделают орфографическую ошибку и непреднамеренно загрузят одну из вредоносных.
Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в исправную кодовую базу пакета.
Преимущество от копирования настоящего пакета заключается в том, целевая страница PyPI для пакета создается из «setup.py» и «README.md», поэтому киберпреступники сразу получают реальную целевую страницу с рабочими ссылками. Если пользователь не проверит страницу внимательно, он может подумать, что это легитимный пакет.
Исследователи Phylum заявили, что все пакеты были загружены более 5700 раз.
По словам экспертов, во время исследования им пришлось анализировать запутанный код, охватывающий более 71 000 символов.
