Исследователи кибербезопасности идентифицировали вредоносный пакет Python, который претендует на то, чтобы быть ответвлением библиотеки популярных запросов, и было обнаружено, что он скрывает Golang-версию командно-управляющего фреймворка Sliver (C2) в изображении логотипа проекта в формате PNG.
Пакет, использующий этот стеганографический трюк, называется requests-darwin-lite, который был загружен 417 раз, прежде чем был удален из реестра Python Package Index (PyPI).
Requests-darwin-lite "оказался форком всегда популярного пакета requests с несколькими ключевыми отличиями, в первую очередь включением вредоносного двоичного файла Go, упакованного в увеличенную версию реального логотипа requests в формате PNG на боковой панели", - сказала компания по безопасности цепочки поставок программного обеспечения Phylum.
Изменения были внесены в файл пакета setup.py, который был настроен на декодирование и выполнение команды в кодировке Base64 для сбора универсального уникального идентификатора системы (UUID).
Что интересно, цепочка заражения продолжается только в том случае, если идентификатор соответствует определенному значению, подразумевая, что автор (ы) пакета хочет взломать конкретную машину, на которой у них уже есть идентификатор, полученный каким-либо другим способом.
Это порождает две возможности: либо это целенаправленная атака, либо это своего рода процесс тестирования перед более широкой кампанией.
Если UUID совпадает, requests-darwin-lite продолжает считывать данные из файла PNG с именем "requests-sidebar-large.png", который имеет сходство с пакетом законных запросов, который поставляется с аналогичным файлом под названием "requests-sidebar.png".
Отличие здесь в том, что в то время как реальный логотип, встроенный в запросы, имеет размер файла 300 кБ, тот, что содержится внутри запросов-darwin-lite, составляет около 17 МБ.
Двоичные данные, скрытые на изображении в формате PNG, представляют собой Sliver на базе Golang, фреймворк C2 с открытым исходным кодом, предназначенный для использования специалистами по безопасности в их операциях red team.
Точная конечная цель пакета в настоящее время неясна, но разработка еще раз свидетельствует о том, что экосистемы с открытым исходным кодом продолжают оставаться привлекательным направлением для распространения вредоносного ПО.
Поскольку подавляющее большинство кодовых баз полагается на открытый исходный код, постоянный приток вредоносного ПО в npm, PyPI и другие реестры пакетов, не говоря уже о недавнем эпизоде с XZ Utils, подчеркнул необходимость систематического решения проблем, которые в противном случае могут "пустить под откос большие участки Интернета".
Пакет, использующий этот стеганографический трюк, называется requests-darwin-lite, который был загружен 417 раз, прежде чем был удален из реестра Python Package Index (PyPI).
Requests-darwin-lite "оказался форком всегда популярного пакета requests с несколькими ключевыми отличиями, в первую очередь включением вредоносного двоичного файла Go, упакованного в увеличенную версию реального логотипа requests в формате PNG на боковой панели", - сказала компания по безопасности цепочки поставок программного обеспечения Phylum.
Изменения были внесены в файл пакета setup.py, который был настроен на декодирование и выполнение команды в кодировке Base64 для сбора универсального уникального идентификатора системы (UUID).
Что интересно, цепочка заражения продолжается только в том случае, если идентификатор соответствует определенному значению, подразумевая, что автор (ы) пакета хочет взломать конкретную машину, на которой у них уже есть идентификатор, полученный каким-либо другим способом.
Это порождает две возможности: либо это целенаправленная атака, либо это своего рода процесс тестирования перед более широкой кампанией.
Если UUID совпадает, requests-darwin-lite продолжает считывать данные из файла PNG с именем "requests-sidebar-large.png", который имеет сходство с пакетом законных запросов, который поставляется с аналогичным файлом под названием "requests-sidebar.png".
Отличие здесь в том, что в то время как реальный логотип, встроенный в запросы, имеет размер файла 300 кБ, тот, что содержится внутри запросов-darwin-lite, составляет около 17 МБ.
Двоичные данные, скрытые на изображении в формате PNG, представляют собой Sliver на базе Golang, фреймворк C2 с открытым исходным кодом, предназначенный для использования специалистами по безопасности в их операциях red team.
Точная конечная цель пакета в настоящее время неясна, но разработка еще раз свидетельствует о том, что экосистемы с открытым исходным кодом продолжают оставаться привлекательным направлением для распространения вредоносного ПО.
Поскольку подавляющее большинство кодовых баз полагается на открытый исходный код, постоянный приток вредоносного ПО в npm, PyPI и другие реестры пакетов, не говоря уже о недавнем эпизоде с XZ Utils, подчеркнул необходимость систематического решения проблем, которые в противном случае могут "пустить под откос большие участки Интернета".
