Розробників Python попереджають про троянізовані пакети PyPI, що імітують популярні бібліотеки

Дослідники кібербезпеки попереджають про появу в сховищі Python Package Index (PyPI) «пакетів-самозванців», що імітують популярні бібліотеки.

Було виявлено, 41 шкідливих пакетів PyPI, що мають назви схожі на типові назви наявних модулів, такі як HTTP, AIOHTTP, requests, urllib і urllib3 і ін.

Зловмисні пакети мали такі назви:

«Описи цих пакетів здебільшого не містять натяків на їхні зловмисні наміри», – зазначила дослідник Лусія Валентич. «Деякі маскуються під справжні бібліотеки та приваблюють користувачів, порівнюючи свої функціональні можливості з функціональними можливостями інших відомих бібліотек HTTP».

Але насправді вони або завантажувачі, які діють як канал для доставки зловмисного програмного забезпечення до заражених хостів, або викрадачі інформації, призначені для викрадання конфіденційних даних, таких як паролі та токени.

Минулого тижня було оприлюднено подібні фальшиві пакети HTTP на PyPI, що мали здатність запускати троян-завантажувач, який містить файл DLL (Rdudkye.dll).

Ця розробка є лише останньою спробою зловмисників заразити сховища з відкритим кодом, такі як GitHub, npm, PyPI та RubyGems, щоб розповсюдити зловмисне програмне забезпечення в системах розробників і здійснити атаки на ланцюги постачання.

Пакети були знайдені через день після того, як Checkmarx детально описав появи великої кількості пакетів спаму в реєстрі npm з відкритим кодом, які призначені для перенаправлення жертв на фішингові посилання.

«Як і в інших атаках на ланцюги постачання, зловмисники розраховують на те, що необережні розробники випадково використають шкідливі пакети зі схожими назвами», – сказала Валентич.

Джерело

Рекомендація від CoreWin: комплексний підхід до кібербезпеки та постійне сканування ваших вебресурсів допоможе вчасно виявити та попередити такого роду вразливості.