В каталоге Python Package Index (PyPI) нашли очередной вредоносный пакет, но у этого экземпляра есть интересная особенность: авторы собрали его из кода других злонамеренных программ.
Исследователи полагают, что за созданием пакета стоят малоквалифицированные киберпреступники. Их задача заключалась в том, чтобы надёргать сторонний код из разных зловредов, а потом, объединив его, создать собственный пакет.
Вредонос обнаружили специалисты компании Kroll. Изначально пакет назывался «colourfool», но эксперты присвоили ему собственное имя — «Colour-Blind». Внутри можно было найти троян, открывающий удалённый доступ, а также зловред, похищающий данные жертвы.
«Функциональность софтового пакета сразу показалась нам подозрительной, а его активность — вредоносной», — говорится в отчёте Kroll.
Например, подозрения вызвал жёстко заданный в коде URL, который использовался для загрузки дополнительных ресурсов из Сети. Кроме того, в пакете был файл в формате Python — code.py, способный красть информацию (отмечаются функции кейлогера и возможность сбора файлов cookies).
Попав на устройство, вредонос мог не только собирать пароли, но и завершать работу приложений, снимать скриншоты рабочего стола, вытаскивать IP-ардес и даже следить за жертвой с помощью встроенной камеры.
Эксперты также отметили несколько неуклюжие попытки обфусцировать вредоносный код. Есть и необычные ходы: авторы вредоносного пакета добавили игру «Змейка», которая, судя по всему, была полностью скопирована с GitHub-репозитория.
Не так давно Microsoft рассказывала о фишинговом наборе, который также напомнил исследователям монстра Франкенштейна.