Исследователи кибербезопасности из Checkmarx обнаружили новую кампанию по краже информации, в которой использовались опечатки и украденные учетные записи GitHub для распространения вредоносных пакетов Python в репозиторий PyPI.
В своем блоге Тал Фолкман, Иегуда Гелб, Йосеф Харуш Кадури и Цачи Цорнштайн из Checkmarx заявили, что обнаружили кампанию после того, как разработчик Python пожаловался на то, что стал жертвой атаки.
Судя по всему, компания предполагает, что риску подвергаются более 170 000 человек.
Инфостайлеры и кейлоггеры
Злоумышленники сначала использовали популярное зеркало Python Pythonhosted и создали версию веб-сайта с опечатками. Они назвали это PyPIhosted. Затем они захватили большой пакет под названием Colorama (более 150 миллионов загрузок в месяц), добавили вредоносный код, а затем загрузили его на свое поддельное зеркало домена Typosquatted. «Эта стратегия существенно затрудняет обнаружение вредоносности пакета невооруженным глазом, поскольку изначально он кажется законной зависимостью», — объяснили исследователи.
Другая стратегия заключалась в краже популярных аккаунтов GitHub. Учетная запись с именем «editor-syntax» была скомпрометирована, скорее всего, из-за кражи файлов cookie сеанса. Получив сеансовые файлы cookie, злоумышленникам удалось обойти все методы аутентификации и войти непосредственно в учетную запись человека. Editor-Syntax вносит важный вклад и поддерживает организацию Top.gg на GitHub, сообщество которой насчитывает более 170 000 участников. Злоумышленники использовали доступ для внедрения вредоносного ПО в библиотеку Python Top.gg.
Целью кампании была кража конфиденциальных данных у жертв. Исследователи Checkmarx заявили, что вредоносное ПО украло данные браузера (файлы cookie, информацию автозаполнения, историю просмотров, закладки, данные кредитных карт и учетные данные для входа в основные браузеры, такие как Opera, Chrome, Brave, Vivaldi, Yandex и Edge), а также данные Discord (в том числе) имеет токены Discord, которые можно использовать для доступа к учетным записям), данные криптовалютного кошелька, сеансы чата Telegram, компьютерные файлы и данные Instagram.
Дальнейший анализ также показал, что информатор может также функционировать как кейлоггер.