Основы Интернет - технологий.

Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышленников). По данным специалистов DevOps JFrog, который обнаружили этот набор вредоносных библиотек, в общей сложности пакеты были загружены и установлены более 30 000 раз. Почти все библиотеки были разработаны разными авторами, так как каждая из них демонстрировала разное вредоносное поведение и по-своему извлекала данные с зараженных машин: Importantpackage (загружен 6305 раз) и important-package (загружен 12 897 раз): скрытый connectback-шелл для psec.forward.io.global.prod.fastly.net, использовавший клиент trevorc2; pptest (загружен 10 001 раз): использовал DNS для отправки hostname '|' os.getcwd() '|' str(self.get_wan_ip()) '|' local_ip_str; ipboards (загружен 946 раз): dependency confusion, отправлял данные пользователя (username, hostname) через DNS-тунеллирование на b0a0374cd1cb4305002e.d.requestbin.net; owlmoon (загружен 3285 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR; DiscordSafety (загружен 557 раз): троян, похищавший токены Discord, токены отправлялись на https://tornadodomain.000webhostapp.com/stlr.php?token=; Trrfab (загружен 287 раз): dependency confusion, отправлял данные пользователя (id, hostname, а также /etc/passwd, /etc/hosts и /home) на yxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.net; 10Cent10 (загружен 490 раз) и 10Cent11 (загружен 490 раз): connectback-шелл с жестко закодированным адресом 104.248.19.57; yandex-yt (загружен 4183 раз): печатает pwned-сообщения и указывает на вероятно вредоносный домен на https://nda.ya.ru/t/iHLfdCYw3jCVQZ; yiffparty (загружен 1859 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR. Таким образом, 10 из 11 пакетов являлись откровенно вредоносными, тогда как библиотека yandex-yt могла быть неким тестом или шуткой, хотя тоже могла превратиться в канал доставки малвари. Также исследователи подчеркивают, что два пакета злоупотребляли относительно новой техникой dependency confusion (путаница зависимостей). То есть злоумышленники регистрировали пакеты с именами, которые могли использоваться внутри закрытых корпоративных сетей, надеясь, что их пакет будет задействован после удаления корпоративного пакета (если дерево зависимостей не обновлялось).