Свыше 700 разработчиков угодили в тайпсквоттинг-ловушку на PyPI

В рамках недавнего исследования специалистов безопасности из ReversingLabs в репозитории Python Package Index (PyPI) были обнаружены два вредоносных пакета, которые использовали технику DLL Sideloading для обхода детектирования антивирусными программами и запуска вредоносного кода.

Пакеты, названные NP6HelperHttptest и NP6HelperHttper, были загружены пользователями 537 и 166 раз соответственно, прежде чем были удалены из репозитория. Эти цифры свидетельствуют о том, что даже недолговечные вредоносные пакеты могут найти своих жертв среди разработчиков.

Вредоносные пакеты имитируют названия легитимных инструментов от ChapsVision, используемых для автоматизации маркетинга. Эта техника, имеющая название Typosquatting, весьма популярна среди злоумышленников, нацеленных на пакетные репозитории.

В составе обоих пакетов находится скрипт «setup.py», который запускает загрузку двух файлов: законного исполняемого файла от компании Kingsoft («ComServer.exe»), уязвимого к DLL Sideloading, и вредоносного DLL («dgdeskband64.dll»). Используемая техника отличается высокой степенью скрытности.

Целью вредоносного DLL является обращение к домену, контролируемому атакующими для загрузки файла, маскирующегося под GIF. На самом деле, это шелл-код для Beacon — инструмента, широко используемого в кибератаках после первоначальной компрометации системы и позволяющего выполнять ряд вредоносных действий, включая сбор данных, перемещение по сети и установку дополнительных инструментов.

Исследователи ReversingLabs считают, что выявленные пакеты являются частью более масштабной кампании, направленной на распространение подобных вредоносных исполняемых файлов, что подчёркивает необходимость бдительности со стороны разработчиков и организаций.

Эксперты подчеркнули, что организациям, занимающимся разработкой, крайне важно осознавать угрозы, связанные с безопасностью цепочки поставок и использованием открытых репозиториев пакетов.

Необходимо в обязательном порядке тщательно проверять исходный код и зависимости, а также предусмотреть дополнительные меры мониторинга и безопасности, чтобы вовремя среагировать и обезопасить свои системы, если заражение всё же имело место быть.

Укрепление кибербезопасности и борьба с угрозами в цепочке поставок программного обеспечения остаются ключевыми задачами для организаций и разработчиков на сегодняшний день.