Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

PyPI отключил три вредоносных пакета с почти 15 тыс. скачиваний

14/12/21

python-2Администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы. Вредоносные пакеты были скачаны более 10 тыс. раз.

О вредоносных пакетах сообщил специалист Эндрю Скотт (Andrew Scott) из компании Palo Alto Networks. Пакет dpp-client появился на PyPI примерно 13 февраля 2021 года, dpp-client1234 — 14 февраля, а aws-login0tool — 1 декабря.

«Я обнаружил их в основном при проверке вручную файлов setup.py, которые соответствовали различным подозрительным строкам и шаблонам регулярных выражений. Например, большинство случаев exec были безобидными, но это рискованный метод в использовании, который обычно используется злоумышленниками, создающими вредоносные пакеты».

Пакет aws-login0tool предназначен для компьютеров под управлением Windows и загружает вредоносный 64-разрядный исполняемый файл normal.exe c домена tryg[.]ga. Вредоносный исполняемый файл был идентифицирован как троян 38% антивирусных ядер на VirusTotal.

Напротив, dpp-client и dpp-client1234 нацелены на системы под управлением Linux. Пакеты анализируют переменные среды, список каталогов и отправляют данную информацию на домен pt.traktrain[.]com.

Пакеты пытаются взломать несколько избранных каталогов, включая /mnt/mesos, указывая на заинтересованность разработчика в файлах, связанных с продуктом для управления кластерами с открытым исходным кодом Apache Mesos.

Примечательно, страница PyPI для aws-login0tool содержала явное предупреждение, призывающее не скачивать пакет: «Please don't use this... It does bad things... Oh, dear :(». Точно так же страницы проектов для пакетов dpp-client и dpp-client1234 содержали в своем описании простое ключевое слово «test».

Темы:PythonУгрозыязыки программирования
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...