18/08/22
На прошлой неделе исследователи из Check Point обнаружили троянизированные пакеты, маскирующиеся под популярные легитимные компоненты и содержащие дропперы для инфостилеров.
Эта находка побудила аналитиков ЛК продолжить поиски вредоносных пакетов в репозитории PyPi, в результате которых были обнаружены фейковые пакеты "pyrequests" и "ultrarequests", выдающие себя за “requests” – один из самых популярных пакетов в PyPi.
Чтобы обмануть жертв, злоумышленники добавляли в свои пакеты фейковую статистику и описание, взятое из “requests”, которое содержало ссылки на веб-страницы оригинального пакета и электронную почту разработчика.
Как только жертва устанавливала вредоносный пакет, ее систему заражал инфостилер W4SP, с помощью которого злоумышленники крали токены Discord, а также cookie-файлы и пароли из браузеров.
Исследователи из Synk тоже обнаружили около десятка вредоносных PyPi-пакетов, которые используются для кражи учетных и платежных данных пользователей Discord и Roblox.
На данный момент все обнаруженные вредоносные пакеты удалены из PyPi, согласно Securitylab.
Напомним, совсем недавно был обнаружен любопытный набор PyPi-пакетов, которые устраивают DDoS-атаки на серверы Counter Strike 1.6. Для их распространения использовался тайпсквоттинг.
