Zebo
В официальном репозитории языка Python выявлены два вредоносных пакета, обладающие способностью выводить чувствительную информацию со взломанных хостов.
По данным лаборатории FortiGuard Labs (принадлежит компании Fortinet), речь идет о пакетах zebo и cometlogger. До того, как они были удалены, их успели выкачать 118 и 164 раза, соответственно. Большинство скачиваний пришлось на США, Китай, Россию и Индию.
Zebo представляет собой, по выражению экспертов, «типичный пример вредоносной программы, чьи функции направлены на слежку, вывод данных и получение неавторизованного контроля». Что касается Cometlogger, то, как отметила исследовательница Дженна Ван (Jenna Wang), то он способен производить динамические манипуляции с файлами, инъекцию веб-перехватчиков (webhooks), а также похищать данные и осуществлять проверку среды исполнения на предмет, не является ли она виртуальной машиной.
Первый из двух пакетов использует обфускацию – строки, закодированные шестнадцатеричным кодом, что позволяет скрывать адреса командного сервера. Данными с этим сервером zebo, однако, обменивается через HTTP-запросы. Сверх этого, zebo также обладает массой возможностей по сбору данных. В частности, он использует библиотеку pynput для перехвата нажатий клавиш и ImageGrab, с помощью которого раз в час делает скриншоты, которые сперва сохраняются локально, а потом выгружаются на бесплатный хостинг ImgBB, используя API-ключ, полученный с командного сервера.
Вредонос также обеспечивает себе постоянство присутствия с помощью batch-скрипта, запускающего код на Python. Скрипт добавляется в каталог Windows Startup, так чтобы запускаться при каждой перезагрузке.
Cometlogger
Cometlogger, в свою очередь, выводит значительно больший диапазон данных, – файлы cookie, пароли, токены и другие сведения, относящиеся к аккаунтам в Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox.
Сверх того, он способен выкрадывать системные метаданные, информацию о сетевом окружении и Wi-Fi, список активных процессов и содержимое буфера обмена. В него также встроены функции обнаружения виртуальных сред (в которых он постарается не запускаться) и отключения процессов, связанных с веб-браузерами, чтобы гарантировать неограниченный доступ к файлам.
«В целом все выглядит так, что в PyPI снова затесался вредоносный код, что, в общем-то, происходит регулярно, – говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. – Судя по сравнительно низкому количеству скачиваний, оба пакета достаточно быстро выловили и нейтрализовали, но, по-видимому, подобные ситуации будут повторяться снова и снова, если операторы PyPI не примут радикальных мер по профилактике подобного».
Эксперт добавил, что в любом случае необходимо тщательно инспектировать любой код и любые программные компоненты, полученные из непроверяемых источников.
Поделиться