PyPI отключил три вредоносных пакета с почти 15 тыс. скачиваний

PyPI отключил три вредоносных пакета с почти 15 тыс. скачиваний

Cтраница PyPI для aws-login0tool содержала предупреждение, призывающее не скачивать пакет.

image

Администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы. Вредоносные пакеты были скачаны более 10 тыс. раз.

О вредоносных пакетах сообщил специалист Эндрю Скотт (Andrew Scott) из компании Palo Alto Networks. Пакет dpp-client появился на PyPI примерно 13 февраля 2021 года, dpp-client1234 — 14 февраля, а aws-login0tool — 1 декабря.

«Я обнаружил их в основном при проверке вручную файлов setup.py, которые соответствовали различным подозрительным строкам и шаблонам регулярных выражений. Например, большинство случаев exec были безобидными, но это рискованный метод в использовании, который обычно используется злоумышленниками, создающими вредоносные пакеты».

Пакет aws-login0tool предназначен для компьютеров под управлением Windows и загружает вредоносный 64-разрядный исполняемый файл normal.exe c домена tryg[.]ga. Вредоносный исполняемый файл был идентифицирован как троян 38% антивирусных ядер на VirusTotal.

Напротив, dpp-client и dpp-client1234 нацелены на системы под управлением Linux. Пакеты анализируют переменные среды, список каталогов и отправляют данную информацию на домен pt.traktrain[.]com.

Пакеты пытаются взломать несколько избранных каталогов, включая /mnt/mesos, указывая на заинтересованность разработчика в файлах, связанных с продуктом для управления кластерами с открытым исходным кодом Apache Mesos.

Примечательно, страница PyPI для aws-login0tool содержала явное предупреждение, призывающее не скачивать пакет: «Please don't use this... It does bad things... Oh, dear :(». Точно так же страницы проектов для пакетов dpp-client и dpp-client1234 содержали в своем описании простое ключевое слово «test».


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!