Вредоносные Python-пакеты похищали токены Discord и данные кредитных карт

Вредоносные Python-пакеты похищали токены Discord и данные кредитных карт

Два пакета позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы.

image

Операторы официального репозитория компонентов Python Package Index (PyPI) удалили восемь библиотек (pytagora, pytagora2, noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) содержащих вредоносный код.

Вредоносные пакеты были обнаружены командой ИБ-исследователей JFrog и были сгруппированы в две категории в зависимости от выполняемых ими вредоносных операций. Два пакета (pytagora и pytagora2) позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы, заставляя зараженную систему подключаться к IP-адресу злоумышленника через TCP-порт 9009, а затем выполнять любой вредоносный код на языке Python.

Остальные шесть пакетов (noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) работали в основном для осуществления кражи данных. После установки на компьютере они похищали данные, уделяя особое внимание общей системной информации, токенам Discord и информации платежных карт пользователя (похищенной из установленных браузеров Google Chrome, Opera, Brave и пр.).

Данные восемь библиотек были загружены более чем 30 тыс. раз перед удалением с репозитория PyPI.


Вымогатели REvil вернулись, в Ростелекоме запретили использовать публичные DNS, а с помощью лазера можно увидеть происходящее за стеной. Смотрите 32-й выпуск наших новостей.