Хакеры распространяли вредоносный пакет PyPi через Stack Overflow
Эксперты Sonatype заметили, что хакеры используют Stack Overflow для распространения малвари. Злоумышленники вежливо отвечают на вопросы пользователей, продвигая вредоносный пакет из PyPi, который устанавливает в систему жертвы инфостилер для Windows.
По данным исследователей, вредоносный пакет pytoileur является частью ранее известной вредоносной кампании Cool package, получившей свое название благодаря строке в метаданных пакета, который атаковал пользователей Windows в прошлом году.
Pytoileur был загружен в PyPi в прошлые выходные под видом инструмент управления API и был загружен более 300 раз. При этом в поле Summary присутствовала строка «Cool package», что и позволило связать эту атаку с упомянутой кампанией.
Обычно такие вредоносные пакеты распространяются с помощью тайпсквоттинга, то есть используют названия, схожие с названиями других популярных пакетов. Однако в данном случае злоумышленники использовали другой подход: они отвечали на вопросы на Stack Overflow и рекламировали свой пакет в качестве решения проблем.
«Мы заметили, что аккаунт Stack Overflow EstAYA G, созданный пару дней назад, атакует участников сообщества, ищущих помощи в отладке (1, 2, 3). Их направляют на установку вредоносного пакета в качестве “решения” их проблемы, хотя это “решение” вообще не имеет отношения к вопросам, заданным разработчиками», — рассказывают эксперты.
Выяснилось, что пакет pytoileur содержит файл setup.py, в который помещена закодированная в base64 команда для выполнения. Для скрытности команда оснащена пробелами, поэтому она незаметна, если не включить word wrap в IDE или редакторе текстовых файлов.
После деобфускации эта команда загрузит исполняемый файл runtime.exe с удаленного сайта и выполнит его.
На деле этот исполняемый файл представляет собой написанную на Python программу, преобразованную в .exe, которая действует как инфостилер в системе жертвы. То есть ворует cookie, пароли, историю браузера, данные банковских карт и другую информацию из браузеров. Также малварь ищет в документах определенные фразы и, если их находит, похищает и эти данные.
Затем вся собранная информация отправляется злоумышленникам, которые, к примеру, могут продать ее в даркнете или использовать для взлома учетных записей жертвы.
Исследователи отмечают, что использование Stack Overflow во вредоносной кампании – это весьма необычный подход. В Sonatype напоминают, что разработчикам следует проверять источники всех пакетов, которые они добавляют в свои проекты, а также, даже если пакет кажется надежным, проверять код (с включенной функцией word wrap) на наличие необычных или обфусцированных команд.