Исследователи безопасности из компании Phylum обнаружили в популярном репозитории PyPI вредоносный пакет, который маскируется под популярную библиотеку «requests».
Пакет под названием «requests-darwin-lite» использовал технику стеганографии и был скачан 417 раз до того, как его удалили с платформы. Он представлял собой форк популярной библиотеки «requests», в который был встроен зловредный бинарник на базе Go. Злоумышленникам удалось спрятать его в PNG-логотип, используемый в интерфейсе инструмента.
Скрытые в изображении данные содержат фреймворк Sliver на базе Golang, который обычно используется профессионалами в области кибербезопасности для операций красных команд. Это событие еще раз напоминает о том, что экосистемы открытого кода продолжают привлекать злоумышленников для распространения вредоносного ПО.
Ксения Ахрамеева, к.т.н, ведущий инженер-аналитик компании «Газинформсервис»: «Злоумышленники всё чаще стали пользоваться методами стеганографии*. Незаметное вложение дополнительной информации в файл – это основа стеганографии. Обнаружение стегообъектов всегда было достаточно сложным процессом, но с приходом ИИ появляются продукты, которые позволяют выявлять определенные аномалии для обнаружения скрытых вложений. Например, продукт на основе поведенческого анализа UEBA – Ankey ASAP развивается в том числе, чтобы находить вредоносные файлы, созданные с использованием методов стеганографии».
*Стеганография — способ передачи или хранения информации с учетом сохранения в тайне самого факта такой передачи (хранения).