Шпионское ПО безнаказанно распространяется в репозитории PyPI

Специалисты ИБ-компании Sonatype обнаружили , что в репозитории PyPI открыто рекламируется инфостилер, который способен похищать конфиденциальные данные и отправлять их на Discord-сервер злоумышленника.

Исследователи из Sonatype связали кампанию с базирующейся в Испании группировкой SylexSquad, работающей по MaaS-модели. Вредоносное ПО группы имеет незамысловатое название «reverse-shell». Обратная оболочка — это схема, при которой машина злоумышленника действует как сервер, а машина жертвы действует как клиент и инициирует соединение с прослушивающим сервером злоумышленника.

Профиль SylexSquad в PyPI

Оказалось, что программа является гораздо большим, чем простая обратная оболочка. Программа способна похищать следующую информацию:

• Учётные данные;
• Историю браузера;
• Файлы из папки «Загрузки»;
• Cookie-файлы;
• Данные кредитной карты;
• Скриншоты экрана.

«Инфостилер имеет низкую степень обфускации и выглядит как бот Discord, который выполняет команды на зараженной машине. Вредоносное ПО может извлекать cookie-файлы, делать снимки экрана, запускать команды оболочки, красть историю просмотров и отправлять все эти данные на Discord-сервер злоумышленника», - отмечают эксперты.

Кроме того, в функциях программы заложены возможности «Клонировать репозиторий GitHub и выполнить файл», «Заменить на URL-адрес репозитория GitHub» и «Путь, по которому вы хотите клонировать репозиторий». Опции указывают на то, что программа работает по MaaS-модели.

Эксперты считают, что такая открытая публикация в общедоступном репозитории может быть для группы способом намеренно привлечь внимание к своему продукту. Кроме того, размещение вредоносных файлов в PyPI дает злоумышленникам больший контроль над ними – у хакеров появляется возможность удалять, обновлять или даже контролировать версии полезной нагрузки.

Среди других преимуществ, размещение в PyPI позволяет распространить вредоносное ПО гораздо шире и может сбить с толку множество антивирусных программ, которые используют общие сигнатуры, например, фактические байты, чтобы определить является ли файл вредоносным или нет.

Другими словами, вместо того, чтобы заранее доставлять вредоносное ПО, которое антивирусные сканеры могут быстро обнаружить, хакеры могут просто ссылаться на свой вредоносный код в другом месте. Предоставляя ссылку на GitHub, злоумышленники, возможно, обходят эту проверку.