В PyPI найден вредоносный пакет, направленный на пользователей macOS для кражи данных Google Cloud

В исследовательской среде кибербезопасности недавно был обнаружен тревожный инцидент, связанный с репозиторием Python Package Index (PyPI). Специалисты выявили вредоносный пакет, предназначенный специально для атаки на операционные системы Apple macOS с целью украсть учетные данные Google Cloud у определенной группы пользователей.

Пакет под названием «lr-utils-lib» появился в репозитории в июне 2024 года и был скачан 59 раз до того, как был удален. Он предназначался для выполнения нескольких задач: после установки на macOS, пакет сверял UUID компьютера с заранее заданным списком из 64 хешей. Это позволяло злоумышленникам целенаправленно атаковать определенные машины.

Если система оказывалась в списке целей, вредоносное ПО пыталось получить доступ к файлам в директории ~/.config/gcloud, где хранятся файлы с данными для входа в Google Cloud, такие как application_default_credentials.json и credentials.db. Затем перехваченные данные отправлялись на удаленный сервер через незащищенное HTTP-соединение. Адрес сервера, указанный в коде пакета, находился в регионе «europe-west2-workload-422915[.]cloudfunctions[.]net».

Дополнительный элемент кампании — использование социальной инженерии. Исследователи из Checkmarx обнаружили поддельный профиль на LinkedIn под именем «Lucid Zenith», который был зарегистрирован как владелец пакета и ошибочно утверждал, что является генеральным директором компании Apex Companies. Это указывает на то, что злоумышленники могли использовать созданный имидж для привлечения доверия и распространения вредоносного пакета среди разработчиков.

Французские судебные органы совместно с Europol запустили операцию по удалению вредоносного программного обеспечения PlugX из зараженных систем. Инициатива стартовала 18 июля и продлится несколько месяцев. Уже около ста жертв во Франции и других европейских странах извлекли выгоду из этих усилий.

PlugX, также известный как Korplug, — это троян, используемый для удаленного доступа и активно применяемый с 2008 года. Вредоносное ПО позволяет злоумышленникам выполнять команды, скачивать файлы и собирать конфиденциальные данные. Он может распространяться через зараженные USB-накопители, что угрожает даже системам без доступа в интернет.

Французская кибербезопасная фирма Sekoia разработала решение для удаления PlugX и в сентябре прошлого года приобрела контроль над сервером управления этим вредоносным ПО всего за 7 долларов.

Удаление PlugX с компьютеров возможно, однако из USB-устройств его вывести сложнее. Ввиду этого и юридических сложностей, связанных с удалением ПО, Sekoia передала решение о дезинфекции национальным командам реагирования на компьютерные чрезвычайные ситуации и правоохранительным органам.