Исследователи компании Phylum обнаружили в реестре PyPI 29 пакетов Python с запутанным кодом, которые имитируют популярные библиотеки, но вместо этого сбрасывают инфостилер W4SP на зараженные машины, а другие пакеты используют вредоносное ПО GyruzPIP, предположительно созданное только для «образовательных целей».
Пакеты содержат намеренные опечатки в названии (Typosquatting), чтобы быть похожими на известные библиотеки Python в надежде, что разработчики, пытающиеся найти настоящую библиотеку, сделают орфографическую ошибку и непреднамеренно загрузят одну из вредоносных.
Атака начинается с копирования существующих популярных библиотек и внедрения вредоносного оператора «__import__» в исправную кодовую базу пакета.
Преимущество от копирования настоящего пакета заключается в том, целевая страница PyPI для пакета создается из «setup.py» и «README.md», поэтому киберпреступники сразу получают реальную целевую страницу с рабочими ссылками. Если пользователь не проверит страницу внимательно, он может подумать, что это легитимный пакет.
Исследователи Phylum заявили, что все пакеты были загружены более 5700 раз.
По словам экспертов, во время исследования им пришлось анализировать запутанный код, охватывающий более 71 000 символов.