Новости Вирус под видом помощи: новый способ заражения разработчиков на Stack Overflow

NewsMaker

I'm just a script
Премиум
12,454
18
8 Ноя 2022
Пользователи жертвуют своими данными, пользуясь советами других людей.


6aioc81v5t11lomyfodzgl01y0wmecbi.jpg


Злоумышленники нашли новый способ распространения вредоносного ПО через Stack Overflow – отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi -пакет, который заражает компьютеры и похищает конфиденциальную информацию.

Sonatype Для просмотра ссылки Войди или Зарегистрируйся новый вредоносный PyPi-пакет, связанный с уже известной кампанией «Cool package». Кампания, начавшаяся в прошлом году, нацелена на пользователей Windows и использует пакет под названием «pytoileur».

Пакет был загружен злоумышленниками на репозиторий PyPi под видом инструмента для управления API. Примечательно, что у пакета есть подпись «Cool package», указывающая, что он является частью текущей кампании.


7qdb8tmqymz7sib4aptc02py4eigt4c7.png


Вредоносный пакет PyToileur

Киберпреступники используют метод Typosquatting, давая вредоносным пакетам имена, похожие на популярные названия, чтобы обмануть пользователей. На этот раз атакующие пошли дальше, начав продвигать свой пакет через Для просмотра ссылки Войди или Зарегистрируйся пользователей Stack Overflow, представляя пакет как решение для различных проблем.


dlawkblu3up26pz34nfk5cczeml48yib.png


Ответ пользователя EstAYA G на проблему, продвигающий вредоносный пакет

Stack Overflow является одной из крупнейших платформ для программистов, что делает её идеальной средой для распространения вредоносных программ, замаскированных под полезные инструменты и библиотеки.

В пакете «pytoileur» содержится файл «setup.py», который скрывает команду, зашифрованную в base64, с помощью добавления пробелов, что делает её незаметной, если не включить перенос слов в текстовом редакторе.


py5f353008czmu9ysoxnai2g9e79cuj5.png


Запутанная команда для выполнения в setup.py

После деобфускации команда скачивает и выполняет исполняемый файл «runtime.exe» с удаленного сайта. Файл на самом деле является Python-программой, преобразованной в «.exe», и выполняет функции стилера.

Вредоносное ПО собирает куки, пароли, историю браузера, данные кредитных карт и другие сведения из веб-браузеров, а также ищет в документах специфические фразы и при их обнаружении также крадет данные. Вся собранная информация отправляется обратно злоумышленникам, которые могут продавать её в даркнете или использовать для дальнейшего взлома аккаунтов жертв.

Хотя вредоносные пакеты и инфостилеры не являются чем-то новым, данная стратегия киберпреступников, выдающих себя за участников на Stack Overflow, заслуживает особого внимания. Такой метод позволяет использовать доверие и авторитет платформы в сообществе разработчиков.
 
Источник новости
www.securitylab.ru

Похожие темы