Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

PyPI-пакет смешал вредоносный код со скомпилированным для обхода средств защиты

02/06/23

hack42-Jun-02-2023-10-29-51-2193-AM

Компания ReversingLabs обнаружила PyPI-пакет, который смешивал вредоносное ПО со скомпилированным кодом, чтобы избежать обнаружения инструментами безопасности, которые проверяют только файлы исходного кода, а не скомпилированные выходные данные. Речь идет о пакете «fshec2», который был удален из репозитория 17 апреля 2023 года после ответственного раскрытия информации в этот же день.

Аналитики ReversingLabs заявили, что это может быть первая атака на цепочку поставок, в которой используется тот факт, что файлы байт-кода Python (PYC) могут выполняться напрямую. Файлы PYC представляют собой скомпилированные файлы байт-кода, которые генерируются интерпретатором при выполнении программы Python.

Пакет «fshec2» содержит в себе 3 файла, 2 из которых являются безопасными, пишет Securitlab. Однако один PYC-файл является загрузчиком вредоносного ПО. PYC-файл содержит в себе скомпилированный модуль Python.

7zj6smfyf6k77bba7ut3tas6b6fqjaep

Анализ переработанной версии файла PYC показывает, что он настроен на сбор имен пользователей, имен хостов и списков каталогов, а также на получение команд с жестко запрограммированного сервера.

ReversingLabs также наблюдала за загрузкой модуля и запуском другого скрипта Python, который отвечает за получение новых команд, помещенных в файл, который может быть изменен злоумышленником для выдачи различных инструкций.

Дальнейшее изучение C2-сервера выявило неправильную настройку, которая позволяла загружать файлы по их идентификаторам, пронумерованным в последовательном порядке (начиная с 1), без какой-либо авторизации. Это указывает на то, что за атакой стоит неопытный хакер.

Исследователи заключили, что сценарии загрузчика, подобные обнаруженным в пакете «fshec2», содержат минимальное количество кода Python и выполняют простое действие: загрузку скомпилированного модуля Python из пакета «fshec2».

Темы:ПреступленияPyPIReversingLabs
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...