Исследователи из Checkmarx обнаружили изощренную кампанию, в рамках которой злоумышленники завоевали доверие в сообществе Python Package Index (PyPI), чтобы распространять вредоносное ПО, крадущее криптовалюту и данные.
Около месяца назад злоумышленники загрузили несколько безвредных Python пакетов, таких как ‘spl-types’, чтобы заслужить доверие и избежать обнаружения перед предстоящей атакой, используя сайт StackExchange для вопросов и ответов.
Через неделю они выпустили обновленные версии пакетов, содержащие скрытое вредоносное ПО в файле ‘init.py’.
Социальный взлом в PyPI
Злоумышленники, сперва завоевав доверие сообщества, смогли автоматически исполнять вредоносное ПО на компьютерах жертв, похищая данные и опустошая криптовалютные кошельки.
Они размещали кажущиеся полезными ответы на популярных ветках StackExchange, перенаправляя пользователей на их вредоносные пакеты, злоупотребляя доверием, типичным для таких платформ.
Компонент с бэкдором обеспечивал злоумышленникам постоянный удаленный доступ, что позволило им долгое время эксплуатировать системы и увеличивать ущерб от кражи криптовалюты. Основные цели атаки — участники криптовалют Raydium и Solana.
Помимо опустошения криптовалютных кошельков, вредоносное ПО собирало конфиденциальные данные, такие как история браузера, сохраненные пароли, куки и данные кредитных карт. Оно также нацеливалось на мессенджеры, такие как Telegram и Signal, чтобы делать скриншоты и искать файлы с ключевыми словами, связанными с криптовалютой и конфиденциальной информацией.
С учетом социальной манипуляции в данной атаке, исследователи подчеркивают важность проверки подлинности программных пакетов и бдительности в отношении потенциально вредоносного контента на форумах.
Кроме того, соблюдение основных мер кибербезопасности, таких как избежание загрузки неизвестного контента, защита онлайн-аккаунтов с помощью сильных паролей и двухфакторной аутентификации, а также регулярное обновление программного обеспечения — важные шаги в борьбе с распространением вредоносного ПО.
Источник: TechRadar
