Злоумышленники опубликовали более 451 уникального пакета Python в официальном репозитории Python Package Index (PyPI) в попытке заразить системы разработчиков вредоносным ПО.
Компания Phylum, занимающаяся безопасностью цепочки поставок программного обеспечения, которая обнаружила эти библиотеки, заявила, что эта деятельность является продолжением кампании, которая была первоначально раскрыта в ноябре 2022 года.
Первоначальный вектор предполагает использование опечаток для имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana, tensorflow и других.
«После установки вредоносный файл JavaScript забрасывается в систему и выполняется в фоновом режиме в любой сессии просмотра веб-страниц» - говорится в отчете Phylum. «Когда разработчик копирует адрес криптовалюты, адрес заменяется в буфере обмена на адрес злоумышленника».
Это достигается путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript и файла manifest.json, который запрашивает у пользователей разрешения на доступ и изменение буфера обмена.
Целевые веб-браузеры включают Google Chrome, Microsoft Edge, Brave и Opera, причем вредоносная программа модифицирует ярлыки браузеров для автоматической загрузки дополнения при запуске с помощью переключателя командной строки «--load-extension».
Последний набор пакетов Python демонстрирует схожий, если не тот же самый, образ действий и предназначен для работы в качестве вредоносной программы, заменяющей криптокошелек в буфере обмена. Изменилась лишь техника обфускации, используемая для сокрытия кода JavaScript.
Конечной целью атак является перехват криптовалютных транзакций, инициированных скомпрометированным разработчиком, и перенаправление их на контролируемые злоумышленником кошельки вместо предполагаемого получателя.
«Этот злоумышленник значительно увеличил свое присутствие в pypi за счет автоматизации» - отметили в Phylum. «Наводнение экосистемы подобными пакетами будет продолжаться».
Выводы совпадают с отчетом компании Sonatype, которая обнаружила 691 вредоносный пакет в реестре npm и 49 вредоносных пакетов в PyPI только за январь 2023 года.
Это событие еще раз иллюстрирует растущую угрозу, с которой сталкиваются разработчики в результате атак на цепочки поставок, причем противники используют такие методы, как typosquatting, чтобы обманом заставить пользователей загрузить мошеннические пакеты.
Источник: https://is-systems.org