- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Интересно, что злоумышленники намеренно изменили в названии законных библиотек буквально 1 символ, чтобы невнимательные разработчики приняли поддельные библиотеки за настоящие. Вот названия этих вредоносных пакетов:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, requestsd, requestse, requestst, ulrlib3, urelib3, urklib3, urlkib3,urllb, urllib33, urolib3, xhttpsp
Все вышеуказанные пакеты содержат либо загрузчики, которые служат каналом для доставки вредоносного ПО на зараженные хосты, либо похитители информации, предназначенные для удаления конфиденциальных данных, таких как пароли и токены.
Fortinet, ранее на этой неделе раскрывшая аналогичные мошеннические HTTP-пакеты в PyPI, отметила их способность запускать троянский загрузчик, содержащий DLL-файл (Rdudkye.dll) для упаковки различных функций.
Данная атака далеко не первая на репозитории с открытым исходным кодом. Только в этом месяце мы уже несколько раз писали о загрузке вредоносных пакетов на NPM и PyPI. По всей видимости, подобных атак становится с каждым днём всё больше.
«Как и в случае с другими атаками на цепочку поставок ПО, злоумышленники рассчитывают на опечатки в названии, создающие путаницу. Они рассчитывают на то, что неосторожные разработчики случайно используют вредоносные пакеты с похожими названиями», — сказал Валентич.