• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Репозиторий PyPI снова наводнили троянские пакеты, имитирующие популярные библиотеки

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи кибербезопасности ReversingLabs предупреждают о «пакетах-самозванцах», имитирующих популярные библиотеки, доступные в репозитории Python Package Index (PyPI). Всего был обнаружен 41 вредоносный пакет PyPI. Все они представляют собой поддельные варианты законных библиотек: HTTP, AIOHTTP, requests, urllib и urllib3.

Интересно, что злоумышленники намеренно изменили в названии законных библиотек буквально 1 символ, чтобы невнимательные разработчики приняли поддельные библиотеки за настоящие. Вот названия этих вредоносных пакетов:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestsd, requestse, requestst, ulrlib3, urelib3, urklib3, urlkib3,urllb, urllib33, urolib3, xhttpsp

Все вышеуказанные пакеты содержат либо загрузчики, которые служат каналом для доставки вредоносного ПО на зараженные хосты, либо похитители информации, предназначенные для удаления конфиденциальных данных, таких как пароли и токены.

Fortinet, ранее на этой неделе раскрывшая аналогичные мошеннические HTTP-пакеты в PyPI, отметила их способность запускать троянский загрузчик, содержащий DLL-файл (Rdudkye.dll) для упаковки различных функций.

Данная атака далеко не первая на репозитории с открытым исходным кодом. Только в этом месяце мы уже несколько раз писали о загрузке вредоносных пакетов на NPM и PyPI. По всей видимости, подобных атак становится с каждым днём всё больше.

«Как и в случае с другими атаками на цепочку поставок ПО, злоумышленники рассчитывают на опечатки в названии, создающие путаницу. Они рассчитывают на то, что неосторожные разработчики случайно используют вредоносные пакеты с похожими названиями», — сказал Валентич.
 
Сверху