Установка пакетов превратилась в русскую рулетку. Всего один импорт похоронит ваш проект навсегда

leer en español

PyPI ThreatLabz SilentSync Python trojan sisaws secmeasure
Установка пакетов превратилась в русскую рулетку. Всего один импорт похоронит ваш проект навсегда
PyPI ThreatLabz SilentSync Python trojan sisaws secmeasure

Четыре троянских пакета обманули систему проверок и заразили сотни проекты за считанные дни.

image

Эксперты Zscaler ThreatLabz обнаружили два злонамеренных пакета в репозитории PyPI , которые при установке и импорте тайно разворачивают Python-троян SilentSync — угрозу, способную захватывать контроль над рабочими средами разработчиков и похищать конфиденциальные данные.

Оба пакета использовали тайпсквоттинг — намеренное копирование имён популярных библиотек с незначительными отличиями, чтобы обмануть разработчиков и внедрить троян в их системы. SilentSync предназначен для кражи данных и удалённого управления устройством, умеет выполнять команды из командного центра, загружать и выгружать файлы, делать снимки экрана и похищать содержимое браузеров. Хотя изначально троян ориентирован на Windows, в нём предусмотрены модули, обеспечивающие постоянное присутствие в системах на базе Linux и macOS.

Вредоносная активность начинается при импорте библиотеки. В случае с пакетом sisaws троян маскируется под обёртку для аргентинского API SISA, включая модули puco и renaper, якобы предназначенные для работы с персональными идентификаторами. На деле при активации скрытой функции gen_token в обходном скрипте выполняется команда curl, которая загружает с Pastebin скрипт helper.py. Он и запускает SilentSync, прописывая его в автозагрузку через ключ в реестре Windows.

Похожая схема используется и в библиотеке secmeasure, якобы предназначенной для очистки строк. Под видом функций sanitize_input, strip_whitespace и других скрывается тот же самый вредоносный механизм. Некоторые из этих функций вызывают ошибки при обращении, чтобы сбить с толку при поверхностной проверке.

SilentSync связывается с командным сервером через HTTP на порту 5000, расшифровывая его адрес из строки в Base64. Он периодически отправляет сигналы о доступности, запрашивает команды, выгружает украденные файлы и передаёт результаты операций. Среди поддерживаемых инструкций — выполнение команд в командной строке, сжатая передача директорий, скриншоты и сбор данных из браузеров Chrome, Brave, Edge и Firefox: от логинов и паролей до истории и автозаполнений. После завершения активности троян удаляет свои следы, чтобы избежать обнаружения.

С момента появления вредоносных пакетов 3 и 4 августа наблюдались четыре отдельных релиза, что указывает на быструю эволюцию инструмента. Такая динамика повышает риск заражения при установке сторонних библиотек и подчёркивает необходимость строгих проверок перед интеграцией внешних зависимостей. В качестве превентивных мер рекомендуется применять проверку контрольных сумм, фильтрацию по репутации и изоляционное тестирование.

Случай с SilentSync стал ещё одним напоминанием об уязвимости экосистемы открытого ПО и опасности внедрения вредоносных компонентов через популярные платформы распространения кода.