Про опасную находку в официальном репозитории PyPI сообщили исследователи Fortinet.
Команда исследователей из Fortinet недавно обнаружила PyPI-пакет под названием shaderz, позволяющий провести атаку нулевого дня. Пакет был обнаружен 6 декабря с помощью системы, которую специалисты Fortinet используют для мониторинга экосистем с открытым кодом.
Shaderz появился в официальном репозитории PyPI 2 декабря 2022 года. У него была только одна версия – 0.0.1, в также отсутствовали описание, электронная почта автора и его страница.
.png)
Пустое описание пакета.
.png)
Пустая история релизов.
В пакете находится вредоносный скрипт setup.py, который загружает и запускает исполняемый файл в процессе установки.
.png)
Скрипт setup.py
Но специалистов куда больше заинтересовал URL-адрес, находящийся в скрипте:
https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe . Как видно на скриншоте ниже, URL включает в себя следующий exe-файл (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea 927adde169e62d.
.png)
Ранее этот URL-адрес не использовался злоумышленниками, а вот exe-файл отмечен как вредоносный.
.png)
Этот файл является python-скриптом, скомпилированным в исполняемый файл.
Команда Fortinet пообещала продолжать отслеживать вредоносную активность в экосистемах по типу PyPI и помогать компаниям бороться с подобными угрозами. С индикаторами компрометации можно ознакомиться здесь .
01-15-2025, 11:18 AM
Threaded Mode