Вредоносная кампания, за которой наблюдали исследователи, за последние полгода становилась все более изощренной: на платформах с открытым исходным кодом были размещены сотни пакетов для кражи информации, число загрузок которых достигло почти 75 000.
Кампания отслеживается аналитиками отдела безопасности цепочек поставок Checkmarx с начала апреля, и за это время было обнаружено 272 пакета, содержащих код для кражи конфиденциальных данных из целевых систем.
С момента первого обнаружения атака претерпела значительные изменения: авторы пакетов применяют все более изощренные методы обфускации и уклонения от обнаружения.
Кража данных и криптовалют
По словам исследователей, они начинают замечать закономерность "в экосистеме Python с начала апреля 2023 года".
В качестве примера приводится файл "_init_py", который загружается только после проверки его работоспособности на целевой системе, а не в виртуализированной среде - типичный признак хоста для анализа вредоносного ПО.
После запуска вирус нацеливается на следующую информацию на зараженных системах:
- Антивирусные средства, работающие на устройстве.
- Список задач, пароли Wi-Fi и системная информация.
- Учетные данные, история посещений, файлы cookie и платежная информация, хранящиеся в веб-браузерах.
- Данные в приложениях криптовалютных кошельков, таких как Atomic и Exodus.
- Значки Discord, номера телефонов, адреса электронной почты и статус nitro.
- Данные пользователей Minecraft и Roblox.
Кроме того, вредоносная программа может делать скриншоты и похищать отдельные файлы из скомпрометированной системы, такие как рабочий стол, изображения, документы, музыка, видео и каталоги "Загрузки".
Буфер обмена жертвы также постоянно отслеживается на предмет криптовалютных адресов, и вредоносная программа меняет их местами с адресами злоумышленников для перенаправления платежей на подконтрольные им кошельки.
По оценкам аналитиков, в результате этой кампании было непосредственно похищено около 100 тыс. долл. в криптовалюте.
Манипуляции с приложениями
По данным Checkmarx, вредоносное ПО, использованное в этой кампании, идет дальше типичных операций по краже информации и использует манипуляции с данными приложений для нанесения более решительного удара.
Например, электронный архив приложения для управления криптовалютным кошельком Exodus заменяется для изменения основных файлов, что позволяет злоумышленникам обойти Content-Security-Policy и осуществить эксфильтрацию данных.
В Discord при включении определенных настроек вредоносная программа внедряет JavaScript-код, выполняющийся при перезапуске клиента.
Кроме того, вредоносная программа использует сценарий PowerShell в приподнятом терминале для манипулирования "хостами" Windows таким образом, чтобы продукты безопасности, работающие на взломанном устройстве, не могли связаться с их серверами.
Эволюция атаки
По словам исследователей, вредоносный код этой кампании в пакетах, распространявшихся в апреле, был хорошо заметен, поскольку представлял собой обычный текст.
Однако в мае авторы пакетов начали добавлять шифрование, чтобы затруднить анализ. В августе исследователь заметил, что в пакеты была добавлена многослойная обфускация.
В отдельном отчете исследователя Checkmarx Яхуды Гельба говорится, что в двух последних пакетах использовалось не менее 70 слоев обфускации.
Кроме того, в августе разработчики вредоносного ПО включили в него возможность отключения антивирусных продуктов, добавили Telegram в список целевых приложений и внедрили резервную систему эксфильтрации данных.
Исследователи предупреждают, что сообщества разработчиков открытого ПО и экосистемы разработчиков по-прежнему подвержены атакам по цепочке поставок, и угрожающие лица ежедневно загружают вредоносные пакеты в широко распространенные репозитории и системы контроля версий, такие как GitHub, или реестры пакетов, например PyPi и NPM.
Пользователям рекомендуется внимательно изучать проекты и издателей пакетов, которым они доверяют, и быть бдительными в отношении опечаток в названиях пакетов.
Список вредоносных пакетов, использованных в данной кампании, доступен здесь.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
