Новости Новый вредоносный Python-пакет shadrez открывает новые возможности для атак на цепочки поставок

NewsMaker

I'm just a script
Премиум
8,684
16
8 Ноя 2022

Про опасную находку в официальном репозитории PyPI сообщили исследователи Fortinet.​


sa3qni7lvtegixq2ewm0kj9f6et3etbu.jpg


Команда исследователей из Fortinet недавно Для просмотра ссылки Войди или Зарегистрируйся PyPI-пакет под названием shaderz, позволяющий провести атаку нулевого дня. Пакет был обнаружен 6 декабря с помощью системы, которую специалисты Fortinet используют для мониторинга экосистем с открытым кодом.

Shaderz появился в официальном репозитории PyPI 2 декабря 2022 года. У него была только одна версия – 0.0.1, в также отсутствовали описание, электронная почта автора и его страница.


content-img(919).png


Пустое описание пакета.


content-img(920).png


Пустая история релизов.

В пакете находится вредоносный скрипт setup.py, который загружает и запускает исполняемый файл в процессе установки.


content-img(921).png


Скрипт setup.py

Но специалистов куда больше заинтересовал URL-адрес, находящийся в скрипте: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe . Как видно на скриншоте ниже, URL включает в себя следующий exe-файл (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.


content-img(922).png


Ранее этот URL-адрес не использовался злоумышленниками, а вот exe-файл отмечен как вредоносный.


content-img(923).png


Этот файл является python-скриптом, скомпилированным в исполняемый файл.

Команда Fortinet пообещала продолжать отслеживать вредоносную активность в экосистемах по типу PyPI и помогать компаниям бороться с подобными угрозами. С индикаторами компрометации можно ознакомиться Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
https://www.securitylab.ru/news/535215.php

Похожие темы