Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

SilentSync: вредоносные пакеты PyPI termncolor, sisaws, secmeasure

3 мин
В июле–августе 2025 года исследователи Zscaler ThreatLabZ обнаружили в индексе пакетов Python (PyPI) три скрытых вредоносных пакета — termncolor, sisaws и secmeasure. За их поведением стоит троян удалённого доступа SilentSync, ориентированный на Windows‑системы и способный выполнять широкий набор вредоносных действий, включая кражу данных браузеров и эксфильтрацию файлов. По данным Zscaler ThreatLabZ, пакеты маскировались под вспомогательные и полезные библиотеки, но в действительности служили для доставки и запуска SilentSync. Ключевые факты инцидента: SilentSync реализует набор функциональностей, характерных для современных RAT: Коммуникация с C2 по HTTP и хранение IP‑адреса сервера в Base64 свидетельствуют о стремлении злоумышленников усложнить автоматическое обнаружение и анализ. Маскировка под легитимные пакеты и повторение их функциональности позволяют вредоносу пройти первичные проверки и получить доверие пользователя или CI/CD‑процесса. Выявление этих пакетов подчёркивает неско
Оглавление
Источник: www.zscaler.com
Источник: www.zscaler.com

В июле–августе 2025 года исследователи Zscaler ThreatLabZ обнаружили в индексе пакетов Python (PyPI) три скрытых вредоносных пакета — termncolor, sisaws и secmeasure. За их поведением стоит троян удалённого доступа SilentSync, ориентированный на Windows‑системы и способный выполнять широкий набор вредоносных действий, включая кражу данных браузеров и эксфильтрацию файлов.

Что именно обнаружено

По данным Zscaler ThreatLabZ, пакеты маскировались под вспомогательные и полезные библиотеки, но в действительности служили для доставки и запуска SilentSync. Ключевые факты инцидента:

  • Имена пакетов: termncolor, sisaws, secmeasure.
  • Цель трояна: удалённое выполнение команд, сбор и эксфильтрация файлов, захват скриншотов, кража данных браузеров (включая credentials, историю и cookies) из Chrome, Brave, Edge и Firefox.
  • Таргет: преимущественно Windows‑системы.
  • Коммуникация с C2 осуществляется по HTTP; адрес сервера управления жестко закодирован в Base64 и декодируется во время выполнения.
  • Метод доставки: злоумышленники использовали техники typosquatting — пакет sisaws маскировался под легитимный пакет sisa, взаимодействующий с национальной информационной системой здравоохранения Аргентины.
  • Функции маскировки: sisaws воспроизводил ключевые API‑вызовы sisa (включая запросы DNI и процессы верификации страхования), а secmeasure представлялся библиотекой для очистки строк и мер безопасности, но фактически развертывал SilentSync.

Технические детали работы SilentSync

SilentSync реализует набор функциональностей, характерных для современных RAT:

  • удалённое исполнение команд;
  • эксфильтрация файлов — возможен сбор полных каталогов с последующей упаковкой в ZIP, чтобы затруднить обнаружение;
  • захват скриншотов и кража browser‑данных (credentials, history, cookies) из популярных браузеров;
  • скрытое удаление следов после сбора данных;
  • постоянство в системе — платформа‑специфичные методы обеспечения автозапуска после перезагрузки или входа пользователя.

Коммуникация с C2 по HTTP и хранение IP‑адреса сервера в Base64 свидетельствуют о стремлении злоумышленников усложнить автоматическое обнаружение и анализ. Маскировка под легитимные пакеты и повторение их функциональности позволяют вредоносу пройти первичные проверки и получить доверие пользователя или CI/CD‑процесса.

Последствия и область риска

Выявление этих пакетов подчёркивает несколько важных угроз:

  • рост рисков supply chain‑атак в публичных репозиториях — злонамеренный код может маскироваться под популярные или локально значимые пакеты;
  • угроза утечки учётных данных и конфиденциальной информации — компрометация браузерных данных и файловых систем;
  • сложность детектирования — использование упаковки в ZIP, удаление следов и Base64‑кодирование C2.

Рекомендации для организаций и разработчиков

Чтобы снизить риск подобных инцидентов, эксперты по кибербезопасности рекомендуют:

  • жёстко контролировать источники внешних зависимостей; по возможности использовать приватные зеркала PyPI и ограничивать прямую установку из публичного репозитория;
  • проверять пакеты перед интеграцией: анализировать код установки (setup.py/pyproject), искать динамическую декодировку адресов и подозрительную сетевую активность;
  • внедрять механизм pinning версий и цифровых подписей зависимостей;
  • мониторить сетевой трафик на HTTP‑запросы к необычным адресам и аномалии, связанные с массовой отправкой ZIP‑архивов;
  • обеспечивать на рабочих станциях и серверах EDR/AV‑защиту, способную выявлять кражу browser‑данных и поведение RAT;
  • проводить регулярные аудиты поставщиков и внутренних CI/CD‑конвейеров на предмет внедрения неавторизованных пакетов;
  • обучать разработчиков и администраторов признакам typosquatting и социальной инженерии при выборе зависимостей.

Вывод

Инцидент с termncolor, sisaws и secmeasure — наглядное напоминание о том, что даже репозитории, которым разработчики доверяют по умолчанию, могут содержать скрытые угрозы. По мере развития подобных кампаний ключевым остаётся понимание тактик злоумышленников и разработка мер, позволяющих опережать потенциальные риски — как на уровне процессов разработки, так и на уровне защиты конечных точек и сетевой безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SilentSync: вредоносные пакеты PyPI termncolor, sisaws, secmeasure".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются