Новый вредоносный Python-пакет shadrez открывает новые возможности для атак на цепочки поставок

Команда исследователей из Fortinet недавно обнаружила PyPI-пакет под названием shaderz, позволяющий провести атаку нулевого дня. Пакет был обнаружен 6 декабря с помощью системы, которую специалисты Fortinet используют для мониторинга экосистем с открытым кодом.

Shaderz появился в официальном репозитории PyPI 2 декабря 2022 года. У него была только одна версия – 0.0.1, в также отсутствовали описание, электронная почта автора и его страница.

Пустое описание пакета.

Пустая история релизов.

В пакете находится вредоносный скрипт setup.py, который загружает и запускает исполняемый файл в процессе установки.

Скрипт setup.py

Но специалистов куда больше заинтересовал URL-адрес, находящийся в скрипте: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe . Как видно на скриншоте ниже, URL включает в себя следующий exe-файл (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.

Ранее этот URL-адрес не использовался злоумышленниками, а вот exe-файл отмечен как вредоносный.

Этот файл является python-скриптом, скомпилированным в исполняемый файл.

Команда Fortinet пообещала продолжать отслеживать вредоносную активность в экосистемах по типу PyPI и помогать компаниям бороться с подобными угрозами. С индикаторами компрометации можно ознакомиться здесь .