26/02/23
Исследователи кибербезопасности ReversingLabs предупреждают о «пакетах-самозванцах», имитирующих популярные библиотеки, доступные в репозитории Python Package Index (PyPI). Всего был обнаружен 41 вредоносный пакет PyPI. Все они представляют собой поддельные варианты законных библиотек: HTTP, AIOHTTP, requests, urllib и urllib3. Об этом пишет Securitylab.
Интересно, что злоумышленники намеренно изменили в названии законных библиотек буквально 1 символ, чтобы невнимательные разработчики приняли поддельные библиотеки за настоящие. Вот названия этих вредоносных пакетов:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestsd, requestse, requestst, ulrlib3, urelib3, urklib3, urlkib3,urllb, urllib33, urolib3, xhttpsp
Все вышеуказанные пакеты содержат либо загрузчики, которые служат каналом для доставки вредоносного ПО на зараженные хосты, либо похитители информации, предназначенные для удаления конфиденциальных данных, таких как пароли и токены.
Fortinet, ранее на этой неделе раскрывшая аналогичные мошеннические HTTP-пакеты в PyPI, отметила их способность запускать троянский загрузчик, содержащий DLL-файл (Rdudkye.dll) для упаковки различных функций.
«Как и в случае с другими атаками на цепочку поставок ПО, злоумышленники рассчитывают на опечатки в названии, создающие путаницу. Они рассчитывают на то, что неосторожные разработчики случайно используют вредоносные пакеты с похожими названиями», — сказал Валентич.
