05/05/25
Обнаруженные пакеты внешне выглядели безврдено и не вызывали подозрений у разработчиков, однако содержали запутанный код, активирующий механизм загрузки следующего этапа атаки, пишет Securitylab.
После установки вредонос проверял, используется ли Linux, и при положительном ответе подключался к удалённому серверу через wget, чтобы загрузить скрипт, затирающий основной диск устройства. Этот скрипт записывал нули в область /dev/sda, что делало восстановление данных невозможным, а саму систему — полностью неработоспособной.
Авторы анализа из компании Socket подчёркивают, что подобный подход исключает возможность последующего анализа или восстановления информации. Атака демонстрирует, насколько разрушительными могут быть манипуляции в цепочке поставок ПО, где доверие к исходному коду оборачивается серьёзной угрозой.
На фоне этого инцидента специалисты также зафиксировали волну вредоносных пакетов в других популярных репозиториях. В npm были выявлены компоненты, способные красть мнемонические фразы и приватные ключи криптокошельков. Среди них фигурируют названия, содержащие отсылки к платёжным системам, что может вводить в заблуждение. Эти модули разрабатывались с расчётом на сбор конфиденциальной информации и её отправку злоумышленникам.
Параллельно с этим в Python-репозитории PyPI обнаружены инструменты с аналогичными целями. Некоторые из них, такие как web3x и herewalletbot, имели встроенные функции кражи сид-фраз и, по подсчётам, были загружены более 6 800 раз с момента публикации в 2024 году.
Отдельную тревогу вызвала группа из семи пакетов PyPI , использующих SMTP-серверы Gmail и WebSocket-соединения для скрытого обмена данными с удалёнными серверами. Зашитые учётные данные Gmail позволяли отправлять сообщения об успешной установке вредоноса, а затем поддерживать постоянный контакт с атакующим. Использование легитимного сервиса значительно снижало вероятность обнаружения, поскольку многие корпоративные системы не блокируют трафик, идущий через популярные облачные домены.
Из всех упомянутых пакетов особенно выделяется cfc-bsb, в котором отсутствует SMTP-функциональность, но при этом присутствует полноценная реализация WebSocket-протокола, что также предоставляет злоумышленнику удалённый доступ к заражённой машине.
Для снижения рисков разработчикам советуют внимательно проверять историю публикаций библиотек, сверять ссылки на репозитории GitHub, регулярно пересматривать используемые зависимости и ограничивать доступ к приватным ключам. Особое внимание стоит уделять нестандартному исходящему трафику, особенно по SMTP, поскольку даже привычные сервисы вроде Gmail могут быть использованы в целях скрытой передачи данных.
