Репозиторий PyPI снова наводнили троянские пакеты, имитирующие популярные библиотеки

Исследователи кибербезопасности ReversingLabs предупреждают о «пакетах-самозванцах», имитирующих популярные библиотеки, доступные в репозитории Python Package Index (PyPI). Всего был обнаружен 41 вредоносный пакет PyPI. Все они представляют собой поддельные варианты законных библиотек: HTTP, AIOHTTP, requests, urllib и urllib3.

Интересно, что злоумышленники намеренно изменили в названии законных библиотек буквально 1 символ, чтобы невнимательные разработчики приняли поддельные библиотеки за настоящие. Вот названия этих вредоносных пакетов:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestsd, requestse, requestst, ulrlib3, urelib3, urklib3, urlkib3,urllb, urllib33, urolib3, xhttpsp

Все вышеуказанные пакеты содержат либо загрузчики, которые служат каналом для доставки вредоносного ПО на зараженные хосты, либо похитители информации, предназначенные для удаления конфиденциальных данных, таких как пароли и токены.

Fortinet, ранее на этой неделе раскрывшая аналогичные мошеннические HTTP-пакеты в PyPI, отметила их способность запускать троянский загрузчик, содержащий DLL-файл (Rdudkye.dll) для упаковки различных функций.

Данная атака далеко не первая на репозитории с открытым исходным кодом. Только в этом месяце мы уже несколько раз писали о загрузке вредоносных пакетов на NPM и PyPI . По всей видимости, подобных атак становится с каждым днём всё больше.

«Как и в случае с другими атаками на цепочку поставок ПО, злоумышленники рассчитывают на опечатки в названии, создающие путаницу. Они рассчитывают на то, что неосторожные разработчики случайно используют вредоносные пакеты с похожими названиями», — сказал Валентич.