Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Атака клонов: разработчикам Telegram-ботов угрожают троянизированные библиотеки в PyPI


От сотен до десятков тысяч потенциальных жертв

С ноября 2026 г. разработчики Telegram-ботов, работающие с языком Python, рискуют столкнуться с троянизированной версией популярной библиотеки Pyrogram.

Злоумышленники опубликовали как минимум восемь вредоносных версий этого пакета. Pyrogram уже давно никем не поддерживается, последнее обновление датировано апрелем 2023 г. Однако и по сей день он набирает до 350 тыс. скачиваний в месяц в репозитории PyPI. На GitHub обнаружились 1400 форков (вариантов) Pyrogram, самый свежий из которых, правда, датирован декабрем 2024 г.

Разработчики Telegram-ботов, работающие с языком Python, рискуют столкнуться с троянизированной версией Pyrogram

В описании Pyrogram говорится, что это «элегантный, современный и асинхронный API-фреймворк Telegram MTProto на Python для пользователей и ботов». Проще говоря, он позволяет разработчикам создавать всевозможных ботов.

По данным исследователей из компании Checkmarx, за последние несколько месяцев на PyPI были опубликованы следующие вредоносные варианты Pyrogram: VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram и pyrogram-kelra. Некоторые из них насчитывают сразу несколько версий: например, у pyrogram-styled их сразу 16, а количество скачиваний превышает 15 тысяч. У остальных — от нескольких сотен до четырех с небольшим тысяч скачиваний.

Во всех случаях оригинальный программный код сохраняется. Злоумышленник, однако, добавил бэкдор под названием secret.py в модуль helpers. Вредоносный файл регистрирует скрытые обработчики команд Telegram при запуске зараженного бота, что позволяет выполнять предоставленный злоумышленником код на Python или команды оболочки.

«Когда злоумышленник отправляет команду /asu print(os.environ) боту, эта функция компилирует и выполняет этот код Python на машине жертвы, обеспечивая полный доступ к работающему клиенту Telegram, сессии, чатам, контактам и переменным окружения, — говорится в публикации Checkmarx. — Когда злоумышленник отправляет команду /asi cat /etc/passwd, она запускает команду /bin/bash -c "cat /etc/passwd" на сервере жертвы и возвращает результат. Все это можно повторить с любой другой shell-командой, и с полномочиями скомпрометированного приложения, что означает, что вредонос может получать доступ и выводить любые данные, к которым это приложение имеет легитимный доступ».

Бэкдор содержит встроенный список идентификаторов аккаунтов в Telegram под названием OWNERS (владельцы). Этот список определяет обладателей полного контроля и помогает нейтрализовать бэкдор, если он каким-либо образом попал в систему злоумышленников.

Скрытен, опасен, пронырлив

Вредонос написан таким образом, чтобы функционировать как можно незаметнее. Для этого он подавляет сообщения об ошибках и отключает журналирование.

Исследователи Checkmarx указывают, что бэкдор активируется только на тех бот-аккаунтах, которые функционируют в эксплуатационных средах, что явно указывает на охоту за конфиденциальными данными, такими как реквизиты доступа к базам данных, облачным API и значимой инфраструктуре.

Недорогой интернет для дачи в 2025 году: сравниваем тарифы операторов

После активации бот может прочитать любой файл на сервере, получить доступ к секретным данным, перехватить чаты жертвы в Telegram, загрузить базу данных и установить постоянный бэкдор.

«Обращает на себя внимание, как долго длилась операция: первый "релиз" троянизированного форка датирован концом ноября прошлого года, последняя — 7 июня 2026 г., — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Это объясняется высоким качеством маскировки: злоумышленники предприняли немало усилий, чтобы сделать свои форки убедительными, а вредоносный модуль — малозаметным. Следствием стало весьма широкое распространение троянизированных версий популярной библиотеки в соответствующей экосистеме, а значит, высок риск практических инцидентов».

Разработчикам, имевшим неосторожность установить себе скомпрометированные версии, настоятельно рекомендовано, избавившись от них, обновить любые реквизиты доступа на затронутых серверах и отозвать токены у ботов Telegram.

Индикаторы компрометации доступны на сайте Checkmarx. Большая часть вредоносных клонов Pyrogram к настоящему времени удалена.