Про опасную находку в официальном репозитории PyPI сообщили исследователи Fortinet.
https://www.securitylab.ru/upload/ib...9f6et3etbu.jpg
Команда исследователей из Fortinet недавно обнаружила PyPI-пакет под названием shaderz, позволяющий провести атаку нулевого дня. Пакет был обнаружен 6 декабря с помощью системы, которую специалисты Fortinet используют для мониторинга экосистем с открытым кодом.
Shaderz появился в официальном репозитории PyPI 2 декабря 2022 года. У него была только одна версия – 0.0.1, в также отсутствовали описание, электронная почта автора и его страница.
https://www.securitylab.ru/upload/im...t-img(919).png
Пустое описание пакета.
https://www.securitylab.ru/upload/im...t-img(920).png
Пустая история релизов.
В пакете находится вредоносный скрипт setup.py, который загружает и запускает исполняемый файл в процессе установки.
https://www.securitylab.ru/upload/im...t-img(921).png
Скрипт setup.py
Но специалистов куда больше заинтересовал URL-адрес, находящийся в скрипте:
https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe . Как видно на скриншоте ниже, URL включает в себя следующий exe-файл (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea 927adde169e62d.
https://www.securitylab.ru/upload/im...t-img(922).png
Ранее этот URL-адрес не использовался злоумышленниками, а вот exe-файл отмечен как вредоносный.
https://www.securitylab.ru/upload/im...t-img(923).png
Этот файл является python-скриптом, скомпилированным в исполняемый файл.
Команда Fortinet пообещала продолжать отслеживать вредоносную активность в экосистемах по типу PyPI и помогать компаниям бороться с подобными угрозами. С индикаторами компрометации можно ознакомиться здесь .