Внимавайте с Python: два пакета крадат акаунти

В хранилището на популярния език за програмиране Python бяха открити два зловредни пакета
(снимка: CC0 Public Domain)

Злонамерени пакети, които крадат ключове от акаунти в социални мрежи, бяха открити в официалното хранилище на езика за програмиране Python. Преди да бъдат отстранени, пакетите са изтеглени стотици пъти от потребители.

Официалното хранилище на Python идентифицира два злонамерени пакета, способни да извлекат чувствителна информация от компрометирани хостове. Според FortiGuard Labs (собственост на Fortinet), това са пакетите Zebo и Cometlogger. Преди да бъдат извадени, те са изтеглени съответно 118 и 164 пъти. Повечето изтегляния са извършени в САЩ, Китай, Русия и Индия.

Според експертите, Zebo е „типичен пример за злонамерена програма, чиито функции са насочени към наблюдение, извеждане на данни и получаване на неоторизиран контрол”. Що се отнася до Cometlogger, този пакет може динамично да манипулира файлове, да инжектира уеб „кукички” (webhooks), да краде данни и да проверява дали средата за изпълнение е виртуална машина, отбелязва изследователката Джена Уанг.

Първият от двата пакета използва обфускация – шестнадесетично кодирани низове, които позволяват да се скрият адресите на командния сървър. Въпреки това Zebo обменя данни с този сървър чрез HTTP заявки. Освен това въпросният софтуер има и много възможности за събиране на данни.

По-специално, пакетът използва библиотеката pynput за прихващане на натискания на клавиши и ImageGrab, с който прави екранни снимки веднъж на час – те първо се записват локално и след това се качват на безплатния ImgBB хостинг с помощта на API ключ, получен от командния сървър.

Злонамереният софтуер гарантира своето постоянно присъствие с помощта на batch-скрипт, който изпълнява код на Python. Скриптът се добавя към директорията Windows Startup, така че да се изпълнява при всяко рестартиране.

Пакетът Cometlogger, от своя страна, показва много по-широк набор от данни – бисквитки, пароли, токени и друга информация, свързана с акаунти в Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox.

Освен това той е способен да открадне системни метаданни, информация за мрежовата среда и Wi-Fi, списък с активни процеси и съдържанието на клипборда. Има също вградени функции за откриване на виртуални среди (в които ще се опита да не работи) и деактивиране на процеси, свързани с уеб браузъри, за да се осигури неограничен достъп до файлове.

Съдейки по сравнително ниския брой изтегляния, изглежда, че и двата пакета са уловени и неутрализирани бързо. Но очевидно подобни ситуации ще се повтарят отново и отново, освен ако операторите на хранилището PyPI не предприемат радикални мерки, за да ги предотвратят.

За всеки случай потребителите на Python следва внимателно да проверят всеки код и всички софтуерни компоненти, получени от съмнителни източници, съветват специалистите по сигурност.

Коментар