В PyPI обнаружен очередной вредоносный пакет, использующийся в атаках на цепочку поставок с конечной целью установить маячок Cobalt Strike или бэкдор на системы под управлением Windows, Linux и Darwin.
PyPI представляет собой репозиторий пакетов с открытым исходным кодом, который разработчики могут использовать для загрузки собственных библиотек или скачивания чужих для дальнейшего использования в своих проектах.
17 мая 2022 злоумышленники загрузили в PyPI вредоносный пакет pymafka. Название пакета напоминает PyKafka – популярный клиент Apache Kafka, насчитывающий более четырех миллионов загрузок из PyPI.
К счастью, вредоносный «клон» был скачан всего 325 раз, после чего был удален. Тем не менее, скачавшие его разработчики находятся под угрозой, поскольку вредонос предоставляет злоумышленникам первоначальный доступ к их внутренним сетям.
Вредоносный пакет был обнаружен специалистами ИБ-компании Sonatype, которые сообщили о нем PyPI. 20 мая pymafka был удален.
По словам исследователя безопасности Акса Шармы (Ax Sharma) из BleepingComputer, заражение начинается с выполнения содержащегося в пакете скрипта setup.py. Скрипт определяет операционную систему хоста и в зависимости от ее типа (Windows, Linux или Darwin) извлекает совместимую полезную нагрузку, которая затем выполняется на системе.
На системах под управлением Linux Python-скрипт подключается к удаленному URL-адресу (39.107.154.72) и передает выходные данные оболочке bash. В настоящее время этот хост отключен, поэтому неизвестно, какие команды выполнялись. Скорее всего, это были команды для открытия обратной оболочки.
Для Windows и Darwin полезная нагрузка представляла собой маячок Cobalt Strike, обеспечивавший удаленный доступ к зараженному устройству.
Cobalt Strike представляет собой набор инструментов для тестирования систем на проникновение, позволяющий выполнять команды, записывать нажатия клавиш на клавиатуре, манипулировать файлами, использовать прокси через SOCKS, повышать привилегии, похищать учетные данные, сканировать порты и пр.
Маячки Cobalt Strike – это бесфайловые shellcode-агенты, которые трудно детектировать. Они предоставляют удаленный и стабильный доступ к скомпрометированным системам для шпионажа, бокового перемещения или развертывания полезной нагрузки второго этапа (например, вымогательского ПО).
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
