Свыше 700 разработчиков угодили в тайпсквоттинг-ловушку на PyPI

В рамках недавнего исследования специалистов безопасности из ReversingLabs в репозитории Python Package Index ( PyPI ) были обнаружены два вредоносных пакета, которые использовали технику DLL Sideloading для обхода детектирования антивирусными программами и запуска вредоносного кода.

Пакеты, названные NP6HelperHttptest и NP6HelperHttper, были загружены пользователями 537 и 166 раз соответственно, прежде чем были удалены из репозитория. Эти цифры свидетельствуют о том, что даже недолговечные вредоносные пакеты могут найти своих жертв среди разработчиков.

Вредоносные пакеты имитируют названия легитимных инструментов от ChapsVision, используемых для автоматизации маркетинга. Эта техника, имеющая название Typosquatting , весьма популярна среди злоумышленников, нацеленных на пакетные репозитории.

В составе обоих пакетов находится скрипт «setup.py», который запускает загрузку двух файлов: законного исполняемого файла от компании Kingsoft («ComServer.exe»), уязвимого к DLL Sideloading, и вредоносного DLL («dgdeskband64.dll»). Используемая техника отличается высокой степенью скрытности.

Целью вредоносного DLL является обращение к домену, контролируемому атакующими для загрузки файла, маскирующегося под GIF. На самом деле, это шелл-код для Beacon — инструмента, широко используемого в кибератаках после первоначальной компрометации системы и позволяющего выполнять ряд вредоносных действий, включая сбор данных, перемещение по сети и установку дополнительных инструментов.

Исследователи ReversingLabs считают, что выявленные пакеты являются частью более масштабной кампании, направленной на распространение подобных вредоносных исполняемых файлов, что подчёркивает необходимость бдительности со стороны разработчиков и организаций.

Эксперты подчеркнули, что организациям, занимающимся разработкой, крайне важно осознавать угрозы, связанные с безопасностью цепочки поставок и использованием открытых репозиториев пакетов.

Необходимо в обязательном порядке тщательно проверять исходный код и зависимости, а также предусмотреть дополнительные меры мониторинга и безопасности, чтобы вовремя среагировать и обезопасить свои системы, если заражение всё же имело место быть.

Укрепление кибербезопасности и борьба с угрозами в цепочке поставок программного обеспечения остаются ключевыми задачами для организаций и разработчиков на сегодняшний день.