- 13,850
- 20
- 8 Ноя 2022
Что скрывается за безобидными PyPI-пакетами?
Специалисты Checmarx Для просмотра ссылки Войдиили Зарегистрируйся PyPI-пакеты, содержащие вредоносный скрипт в файле «init.py», который передает данные пользователей боту в Telegram .
Вредоносные пакеты, загруженные пользователем «dsfsdfds», оказались частью крупной киберпреступной операции. Основная цель кампании – кража конфиденциальных данных пользователей и их передача Telegram-боту, связанному с киберпреступниками из Ирака. Операция активна с 2022 года. Telegram-канал с ботом содержит более 90 000 сообщений на арабском языке.
Список вредоносных пакетов на PyPI включает:
Жестко закодированная конфиденциальная информация, такая как токен бота и идентификатор чата, позволила исследователям получить данные об инфраструктуре и операциях киберпреступников. Исследователи получили доступ к Telegram-боту и мониторили его деятельность.
История активности бота уходит в 2022 год, задолго до выпуска вредоносных пакетов на PyPI. Сообщения в основном были на арабском языке. В ходе анализа выяснилось, что оператор бота поддерживал множество других ботов и, вероятно, базировался в Ираке.
Изначально бот функционировал как подпольный рынок, предлагая услуги по накрутке просмотров и подписчиков в Telegram и Instagram*, спам-услуги и скидки на подписки Netflix. Однако дальнейшее изучение истории сообщений выявило более опасные активности, связанные с финансовым мошенничеством и компрометацией систем жертв.
Обнаружение вредоносных пакетов и последующее расследование Telegram-бота пролили свет на сложную киберпреступную операцию. Первоначально единичный случай вредоносных пакетов оказался вершиной айсберга, открыв криминальную экосистему. Исследовательская команда Checkmarx продолжает расследование атаки, чтобы получить дополнительные данные о методах злоумышленников.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
Специалисты Checmarx Для просмотра ссылки Войди
Вредоносные пакеты, загруженные пользователем «dsfsdfds», оказались частью крупной киберпреступной операции. Основная цель кампании – кража конфиденциальных данных пользователей и их передача Telegram-боту, связанному с киберпреступниками из Ирака. Операция активна с 2022 года. Telegram-канал с ботом содержит более 90 000 сообщений на арабском языке.
Список вредоносных пакетов на PyPI включает:
- testbrojct2
- proxyfullscraper
- proxyalhttp
- proxyfullscrapers
Жестко закодированная конфиденциальная информация, такая как токен бота и идентификатор чата, позволила исследователям получить данные об инфраструктуре и операциях киберпреступников. Исследователи получили доступ к Telegram-боту и мониторили его деятельность.
История активности бота уходит в 2022 год, задолго до выпуска вредоносных пакетов на PyPI. Сообщения в основном были на арабском языке. В ходе анализа выяснилось, что оператор бота поддерживал множество других ботов и, вероятно, базировался в Ираке.
Изначально бот функционировал как подпольный рынок, предлагая услуги по накрутке просмотров и подписчиков в Telegram и Instagram*, спам-услуги и скидки на подписки Netflix. Однако дальнейшее изучение истории сообщений выявило более опасные активности, связанные с финансовым мошенничеством и компрометацией систем жертв.
Обнаружение вредоносных пакетов и последующее расследование Telegram-бота пролили свет на сложную киберпреступную операцию. Первоначально единичный случай вредоносных пакетов оказался вершиной айсберга, открыв криминальную экосистему. Исследовательская команда Checkmarx продолжает расследование атаки, чтобы получить дополнительные данные о методах злоумышленников.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
- Источник новости
- www.securitylab.ru
