Вредоносные Python-пакеты похищали токены Discord и данные кредитных карт

Вредоносные Python-пакеты похищали токены Discord и данные кредитных карт

Два пакета позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы.

Операторы официального репозитория компонентов Python Package Index (PyPI) удалили восемь библиотек (pytagora, pytagora2, noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) содержащих вредоносный код.

Вредоносные пакеты были обнаружены командой ИБ-исследователей JFrog и были сгруппированы в две категории в зависимости от выполняемых ими вредоносных операций. Два пакета (pytagora и pytagora2) позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы, заставляя зараженную систему подключаться к IP-адресу злоумышленника через TCP-порт 9009, а затем выполнять любой вредоносный код на языке Python.

Остальные шесть пакетов (noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) работали в основном для осуществления кражи данных. После установки на компьютере они похищали данные, уделяя особое внимание общей системной информации, токенам Discord и информации платежных карт пользователя (похищенной из установленных браузеров Google Chrome, Opera, Brave и пр.).

Данные восемь библиотек были загружены более чем 30 тыс. раз перед удалением с репозитория PyPI.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!