Из PyPI удалены 11 пакетов, похищавшие токены Discord, пароли и так далее - «Новости»

  • 10:30, 20-ноя-2021
  • Новости / Изображения / Текст
  • Bradberry
  • 0

Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышленников).


По данным специалистов DevOps JFrog, который обнаружили этот набор вредоносных библиотек, в общей сложности пакеты были загружены и установлены более 30 000 раз.


Почти все библиотеки были разработаны разными авторами, так как каждая из них демонстрировала разное вредоносное поведение и по-своему извлекала данные с зараженных машин:



  • Importantpackage (загружен 6305 раз) и important-package (загружен 12 897 раз): скрытый connectback-шелл для psec.forward.io.global.prod.fastly.net, использовавший клиент trevorc2;

  • pptest (загружен 10 001 раз): использовал DNS для отправки hostname+'|'+os.getcwd()+'|'+str(self.get_wan_ip())+'|'+local_ip_str;

  • ipboards (загружен 946 раз):  dependency confusion, отправлял данные пользователя (username, hostname) через DNS-тунеллирование на b0a0374cd1cb4305002e.d.requestbin.net;

  • owlmoon (загружен 3285 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR;

  • DiscordSafety (загружен 557 раз): троян, похищавший токены Discord, токены отправлялись на https://tornadodomain.000webhostapp.com/stlr.php?token=;

  • Trrfab (загружен 287 раз): dependency confusion, отправлял данные пользователя (id,  hostname, а также /etc/passwd, /etc/hosts и /home) на yxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.net;

  • 10Cent10 (загружен 490 раз) и 10Cent11 (загружен 490 раз): connectback-шелл с жестко закодированным адресом 104.248.19.57;

  • yandex-yt (загружен 4183 раз): печатает pwned-сообщения и указывает на вероятно вредоносный домен на  https://nda.ya.ru/t/iHLfdCYw3jCVQZ;

  • yiffparty (загружен 1859 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR.


Таким образом, 10 из 11 пакетов являлись откровенно вредоносными, тогда как библиотека yandex-yt могла быть неким тестом или шуткой, хотя тоже могла превратиться в канал доставки малвари.


Также исследователи подчеркивают, что два пакета злоупотребляли относительно новой техникой dependency confusion (путаница зависимостей). То есть злоумышленники регистрировали пакеты с именами, которые могли использоваться внутри закрытых корпоративных сетей, надеясь, что их пакет будет задействован после удаления корпоративного пакета (если дерево зависимостей не обновлялось).


 


Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышленников). По данным специалистов DevOps JFrog, который обнаружили этот набор вредоносных библиотек, в общей сложности пакеты были загружены и установлены более 30 000 раз. Почти все библиотеки были разработаны разными авторами, так как каждая из них демонстрировала разное вредоносное поведение и по-своему извлекала данные с зараженных машин: Importantpackage (загружен 6305 раз) и important-package (загружен 12 897 раз): скрытый connectback-шелл для psec.forward.io.global.prod.fastly.net, использовавший клиент trevorc2; pptest (загружен 10 001 раз): использовал DNS для отправки hostname '|' os.getcwd() '|' str(self.get_wan_ip()) '|' local_ip_str; ipboards (загружен 946 раз): dependency confusion, отправлял данные пользователя (username, hostname) через DNS-тунеллирование на b0a0374cd1cb4305002e.d.requestbin.net; owlmoon (загружен 3285 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR; DiscordSafety (загружен 557 раз): троян, похищавший токены Discord, токены отправлялись на https://tornadodomain.000webhostapp.com/stlr.php?token=; Trrfab (загружен 287 раз): dependency confusion, отправлял данные пользователя (id, hostname, а также /etc/passwd, /etc/hosts и /home) на yxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.net; 10Cent10 (загружен 490 раз) и 10Cent11 (загружен 490 раз): connectback-шелл с жестко закодированным адресом 104.248.19.57; yandex-yt (загружен 4183 раз): печатает pwned-сообщения и указывает на вероятно вредоносный домен на https://nda.ya.ru/t/iHLfdCYw3jCVQZ; yiffparty (загружен 1859 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR. Таким образом, 10 из 11 пакетов являлись откровенно вредоносными, тогда как библиотека yandex-yt могла быть неким тестом или шуткой, хотя тоже могла превратиться в канал доставки малвари. Также исследователи подчеркивают, что два пакета злоупотребляли относительно новой техникой dependency confusion (путаница зависимостей). То есть злоумышленники регистрировали пакеты с именами, которые могли использоваться внутри закрытых корпоративных сетей, надеясь, что их пакет будет задействован после удаления корпоративного пакета (если дерево зависимостей не обновлялось).

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!