Контакты
Подписка 2023
Формирование шорт-листа отечественных решений
Форум ITSEC: информационная и кибербезопасность России. 10-20 октября 2023
Жми, чтобы участвовать

PyPI-пакет смешал вредоносный код со скомпилированным для обхода средств защиты

02/06/23

hack42-Jun-02-2023-10-29-51-2193-AM

Компания ReversingLabs обнаружила PyPI-пакет, который смешивал вредоносное ПО со скомпилированным кодом, чтобы избежать обнаружения инструментами безопасности, которые проверяют только файлы исходного кода, а не скомпилированные выходные данные. Речь идет о пакете «fshec2», который был удален из репозитория 17 апреля 2023 года после ответственного раскрытия информации в этот же день.

Аналитики ReversingLabs заявили, что это может быть первая атака на цепочку поставок, в которой используется тот факт, что файлы байт-кода Python (PYC) могут выполняться напрямую. Файлы PYC представляют собой скомпилированные файлы байт-кода, которые генерируются интерпретатором при выполнении программы Python.

Пакет «fshec2» содержит в себе 3 файла, 2 из которых являются безопасными, пишет Securitlab. Однако один PYC-файл является загрузчиком вредоносного ПО. PYC-файл содержит в себе скомпилированный модуль Python.

7zj6smfyf6k77bba7ut3tas6b6fqjaep

Анализ переработанной версии файла PYC показывает, что он настроен на сбор имен пользователей, имен хостов и списков каталогов, а также на получение команд с жестко запрограммированного сервера.

ReversingLabs также наблюдала за загрузкой модуля и запуском другого скрипта Python, который отвечает за получение новых команд, помещенных в файл, который может быть изменен злоумышленником для выдачи различных инструкций.

Дальнейшее изучение C2-сервера выявило неправильную настройку, которая позволяла загружать файлы по их идентификаторам, пронумерованным в последовательном порядке (начиная с 1), без какой-либо авторизации. Это указывает на то, что за атакой стоит неопытный хакер.

Исследователи заключили, что сценарии загрузчика, подобные обнаруженным в пакете «fshec2», содержат минимальное количество кода Python и выполняют простое действие: загрузку скомпилированного модуля Python из пакета «fshec2».

Темы:ПреступленияPyPIReversingLabs
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в ключевых отраслях
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в госсекторе и ключевых отраслях
Жми, чтобы участвовать

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
10 октября. Новые продукты для информационной безопасности
10 октября. Новые продукты для информационной безопасности
Жми, чтобы участвовать

Еще темы...