Из PyPI удалены 11 пакетов, похищавшие токены Discord, пароли и так далее

22.11.2021
Из PyPI удалены 11 пакетов, похищавшие токены Discord, пароли и так далее

Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышленников).

По данным специалистов DevOps JFrog, который обнаружили этот набор вредоносных библиотек, в общей сложности пакеты были загружены и установлены более 30 000 раз.

Почти все библиотеки были разработаны разными авторами, так как каждая из них демонстрировала разное вредоносное поведение и по-своему извлекала данные с зараженных машин:

  • Importantpackage (загружен 6305 раз) и important-package (загружен 12 897 раз): скрытый connectback-шелл для psec.forward.io.global.prod.fastly.net, использовавший клиент trevorc2;
  • pptest (загружен 10 001 раз): использовал DNS для отправки hostname+'|'+os.getcwd()+'|'+str(self.get_wan_ip())+'|'+local_ip_str;
  • ipboards (загружен 946 раз):  dependency confusion, отправлял данные пользователя (username, hostname) через DNS-тунеллирование на b0a0374cd1cb4305002e.d.requestbin.net;
  • owlmoon (загружен 3285 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_Z...;
  • DiscordSafety (загружен 557 раз): троян, похищавший токены Discord, токены отправлялись на https://tornadodomain.000webhostapp.com/stlr.php?token=;
  • Trrfab (загружен 287 раз): dependency confusion, отправлял данные пользователя (id,  hostname, а также /etc/passwd, /etc/hosts и /home) на yxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.net;
  • 10Cent10 (загружен 490 раз) и 10Cent11 (загружен 490 раз): connectback-шелл с жестко закодированным адресом 104.248.19.57;
  • yandex-yt (загружен 4183 раз): печатает pwned-сообщения и указывает на вероятно вредоносный домен на  https://nda.ya.ru/t/iHLfdCYw3jCVQZ;
  • yiffparty (загружен 1859 раз): троян, похищавший токены Discord, токены отправлялись на https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_Z....

Таким образом, 10 из 11 пакетов являлись откровенно вредоносными, тогда как библиотека yandex-yt могла быть неким тестом или шуткой, хотя тоже могла превратиться в канал доставки малвари.

Также исследователи подчеркивают, что два пакета злоупотребляли относительно новой техникой dependency confusion (путаница зависимостей). То есть злоумышленники регистрировали пакеты с именами, которые могли использоваться внутри закрытых корпоративных сетей, надеясь, что их пакет будет задействован после удаления корпоративного пакета (если дерево зависимостей не обновлялось).


Популярные материалы