Бесплатно Экспресс-аудит сайта:

23.05.2022

Вредоносный PyPI-пакет заражал бэкдором Windows-, Linux- и Darwin-системы

В PyPI обнаружен очередной вредоносный пакет, использующийся в атаках на цепочку поставок с конечной целью установить маячок Cobalt Strike или бэкдор на системы под управлением Windows, Linux и Darwin.

PyPI представляет собой репозиторий пакетов с открытым исходным кодом, который разработчики могут использовать для загрузки собственных библиотек или скачивания чужих для дальнейшего использования в своих проектах.

17 мая 2022 злоумышленники загрузили в PyPI вредоносный пакет pymafka. Название пакета напоминает PyKafka – популярный клиент Apache Kafka, насчитывающий более четырех миллионов загрузок из PyPI.

К счастью, вредоносный «клон» был скачан всего 325 раз, после чего был удален. Тем не менее, скачавшие его разработчики находятся под угрозой, поскольку вредонос предоставляет злоумышленникам первоначальный доступ к их внутренним сетям.

Вредоносный пакет был обнаружен специалистами ИБ-компании Sonatype, которые сообщили о нем PyPI. 20 мая pymafka был удален.

По словам исследователя безопасности Акса Шармы (Ax Sharma) из BleepingComputer, заражение начинается с выполнения содержащегося в пакете скрипта setup.py. Скрипт определяет операционную систему хоста и в зависимости от ее типа (Windows, Linux или Darwin) извлекает совместимую полезную нагрузку, которая затем выполняется на системе.

На системах под управлением Linux Python-скрипт подключается к удаленному URL-адресу (39.107.154.72) и передает выходные данные оболочке bash. В настоящее время этот хост отключен, поэтому неизвестно, какие команды выполнялись. Скорее всего, это были команды для открытия обратной оболочки.

Для Windows и Darwin полезная нагрузка представляла собой маячок Cobalt Strike, обеспечивавший удаленный доступ к зараженному устройству.

Cobalt Strike представляет собой набор инструментов для тестирования систем на проникновение, позволяющий выполнять команды, записывать нажатия клавиш на клавиатуре, манипулировать файлами, использовать прокси через SOCKS, повышать привилегии, похищать учетные данные, сканировать порты и пр.

Маячки Cobalt Strike – это бесфайловые shellcode-агенты, которые трудно детектировать. Они предоставляют удаленный и стабильный доступ к скомпрометированным системам для шпионажа, бокового перемещения или развертывания полезной нагрузки второго этапа (например, вымогательского ПО).