Раскрыта киберпреступная сеть, использующая Telegram для кражи данных

Специалисты компании Checkmarx обнаружили сложную киберпреступную операцию, которая в течение последних двух лет использовала вредоносные PyPI-пакеты для кражи данных пользователей. Скомпрометированные пакеты, размещенные на платформе под именем пользователя «dsfsdfds», содержали скрипт, который отправлял пользовательские данные на Telegram-бот, управляемый злоумышленниками из Ирака.

Эти пакеты, включая такие названия, как testbrojct2 и proxyfullscraper, активно сканировали файловую систему жертв, целенаправленно ища файлы с расширениями «.py», «.php», «.zip», а также изображения «.png», «.jpg» и «.jpeg». Обнаруженная информация автоматически отправлялась злоумышленникам без ведома пользователя.

Интересно, что Telegram-бот, который использовался для сбора и передачи данных, изначально был создан как инструмент для накрутки просмотров и подписчиков в социальных сетях. Со временем его функциональность расширилась до проведения более серьезных киберпреступлений, включая финансовое мошенничество и систематическую кражу данных.

В ходе расследования, исследователи Checkmarx получили доступ к инфраструктуре Telegram-бота и смогли отслеживать его деятельность. Это открыло широкий спектр действий киберпреступников, от подпольной торговли до масштабных атак на конфиденциальную информацию.

Ситуация поднимает вопросы о безопасности использования открытых источников и важности внедрения более строгих мер безопасности при работе с PyPI-пакетами. Это также напоминает о необходимости постоянного мониторинга и проверки используемых в разработке сторонних библиотек. Расследование продолжается, а данные, собранные в ходе операции, будут использованы для дальнейшей защиты от подобных угроз.