W repozytorium Pythona znaleziono pakiety kradnące dane i hasła

W repozytorium Pythona znaleziono pakiety kradnące dane i hasła

Oficjalne repozytorium języka Python (PyPI) ponownie stało się celem cyberprzestępców. Tym razem zidentyfikowano dwa szkodliwe pakiety o nazwach zebo i cometlogger, które zostały zaprojektowane do kradzieży danych i przejmowania kontroli nad zainfekowanymi urządzeniami.

Według ekspertów z FortiGuard Labs, oba pakiety zdążyły zostać pobrane odpowiednio 118 i 164 razy, zanim zostały usunięte z platformy. Większość pobrań miała miejsce w Stanach Zjednoczonych, Chinach, Rosji i Indiach.cPakiet zebo został opisany przez specjalistów jako klasyczny przykład oprogramowania szpiegującego, którego celem jest inwigilacja, kradzież danych oraz uzyskanie nieautoryzowanego dostępu do zhakowanych systemów. Działał on poprzez zaciemnienie kodu – ciągi znaków zakodowane w formacie szesnastkowym ukrywały adresy serwerów dowodzenia i kontroli (C&C). Mimo tych zabezpieczeń zebo wymieniał dane z serwerami C&C za pośrednictwem żądań HTTP, co umożliwiło jego identyfikację.

Zebo - pierwszy z dwóch zagrożeń w repo Python

Zebo miał szerokie możliwości szpiegowskie, w tym przechwytywanie naciśnięć klawiszy za pomocą biblioteki pynput oraz wykonywanie zrzutów ekranu przy użyciu narzędzia ImageGrab. Zrzuty ekranu były wykonywane co godzinę, zapisywane lokalnie, a następnie przesyłane na darmowy serwis hostingowy ImgBB. Cały proces był możliwy dzięki kluczowi API uzyskanemu z serwera dowodzenia. Zebo dbał również o swoją trwałość w systemie, instalując skrypt wsadowy w katalogu startowym Windows, co umożliwiało jego automatyczne uruchamianie po każdym restarcie systemu.

Cometlogger był dużo groźniejszy

Drugi pakiet, cometlogger, okazał się dużo bardziej zaawansowany i wszechstronny. Był zdolny do kradzieży haseł, tokenów, cookies oraz innych poufnych danych związanych z kontami użytkowników na takich platformach jak Discord, Steam, Instagram, TikTok, Reddit, Twitch, Spotify czy Roblox. Dodatkowo mógł wykradać metadane systemowe, dane o środowisku sieciowym, Wi-Fi, listy aktywnych procesów, a nawet zawartość schowka. Co więcej, cometlogger był wyposażony w funkcje wykrywania środowisk wirtualnych – w przypadku zidentyfikowania takiego środowiska przestawał działać, aby uniknąć wykrycia w warunkach laboratoryjnych. Oprogramowanie to potrafiło również wyłączać procesy powiązane z przeglądarkami internetowymi, co pozwalało mu na niezakłócony dostęp do plików użytkownika.

Sytuacje takie jak ta stają się coraz bardziej powszechne. Złośliwe oprogramowanie regularnie przedostaje się do oficjalnych repozytoriów, takich jak PyPI, co naraża użytkowników na poważne zagrożenia. Chociaż tym razem szkodliwe pakiety zostały szybko zidentyfikowane i usunięte, problem ten będzie się powtarzał, dopóki operatorzy PyPI nie wprowadzą bardziej rygorystycznych mechanizmów weryfikacji i kontroli przesyłanych pakietów.

Eksperci apelują o ostrożność przy korzystaniu z komponentów oprogramowania pochodzących z niezweryfikowanych źródeł. Zaleca się dokładne sprawdzanie każdego kodu oraz implementację zaawansowanych narzędzi analitycznych, które mogą wykrywać potencjalne zagrożenia. Incydenty takie jak ten przypominają, jak ważne jest zachowanie czujności w świecie open source, gdzie elastyczność i otwartość systemu idą w parze z ryzykiem cyberataków.

Obserwuj nas w Google News

Pokaż / Dodaj komentarze do: W repozytorium Pythona znaleziono pakiety kradnące dane i hasła

 0
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł
Kolejny proponowany artykuł