Индекс пакетов Python (PyPI) приостановил создание новых проектов и регистрацию пользователей, чтобы смягчить последствия продолжающейся кампании по загрузке вредоносного ПО. Этот шаг был предпринят после того, как исследователи безопасности из Checkmarx обнаружили кампанию, включающую несколько вредоносных пакетов, связанных с одним и тем же субъектом угроз.
Злоумышленники нацеливаются на жертв с помощью атак типа typosquatting, обманом заставляя пользователей устанавливать вредоносные пакеты Python через интерфейс командной строки. Эта многоступенчатая атака направлена на кражу криптовалютных кошельков, конфиденциальных данных браузера, таких как куки и данные расширений, а также различных учетных данных.
Вредоносная полезная нагрузка также использует механизм персистенции, чтобы пережить перезагрузку системы, обеспечивая постоянный доступ к взломанным машинам.
В период с 27 по 28 марта 2024 года на PyPI было загружено несколько вредоносных пакетов Python - вероятно, с помощью средств автоматизации. Эти пакеты содержали вредоносный код в файлах setup.py, что обеспечивало их автоматическое выполнение при установке.
Файлы setup.py содержали обфусцированный и зашифрованный код с использованием модуля шифрования Fernet. После установки этот код выполнялся, вызывая получение дополнительной полезной нагрузки с удаленного сервера. URL-адрес полезной нагрузки формировался динамически путем добавления имени пакета в качестве параметра запроса.
После расшифровки полученная полезная нагрузка обнаруживала обширный инфопохититель, предназначенный для сбора конфиденциальной информации с компьютера жертвы, включая криптовалютные кошельки, данные браузера и учетные данные.
В ответ на кампанию по распространению вредоносного ПО PyPI временно приостановил создание новых проектов и регистрацию новых пользователей. Эта мера направлена на смягчение существующей угрозы, пока организация проводит расследование и решает проблему.
29CISA предупреждает, что злоумышленники начали использовать уязвимость Microsoft SharePoint для инъекции кода, которая может быть соединена с критическим недостатком повышения привилегий для атак удаленного выполнения кода перед авторизацией.
34Министерство юстиции США (DoJ) предъявило обвинения глобальной криптовалютной бирже KuCoin и двум ее основателям в несоблюдении требований по борьбе с отмыванием денег (AML), что позволило угрожающим субъектам использовать платформу для отмывания денег.
34В прошлом году число уязвимостей нулевого дня, использованных в атаках, достигло 97, что на 50 % больше, чем в предыдущем году, когда число уязвимостей составляло 62.
38Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии