Вредоносные PyPI-пакеты охотятся на данные Discord
24/04/24
Специалисты по кибербезопасности из компании Fortinet выявили новый вредоносный пакет в реестре для разработчиков PyPI, нацеленный на кражу данных пользователей Discord. Пакет под названием «discordpy_bypass-1.7» был опубликован 10 марта 2024 года и обнаружен через два дня, пишет Securitylab.
Пакет, разработанный пользователем под ником «Theaos», включает в себя семь версий с похожими характеристиками. Его основная цель — извлечение конфиденциальной информации с помощью техник установления постоянства в системе жертвы, извлечения данных из браузеров и сбора токенов.
В ходе технического анализа было установлено, что пакет использует многоуровневые меры уклонения, включая кодирование базового кода Python с помощью base64, дополнительные методы обфускации и компиляцию в исполняемый файл, который загружается с удалённого URL.
Кроме того, злоумышленники также внедрили ряд проверок, позволяющих вредоносной программе определять запуск в песочнице и прерывать свою работу. К тому же, программа способна идентифицировать и блокировать IP- и MAC-адреса, занесённые в чёрные списки.
Особое внимание вредоносный код уделяет авторизационным данным Discord, извлекая из браузеров пароли, cookie-файлы и историю веб-поиска. Перед отправкой на удалённый сервер, извлечённые токены дешифруются и проверяются.