Компанія ESET — лідер у галузі інформаційної безпеки — виявила шкідливі проєкти Python, які поширюються через офіційне сховище пакетів PyPI. Загроза, націлена на системи Windows та Linux, зазвичай поширює спеціальний бекдор із можливостями кібершпигунства. Він дозволяє віддалено виконувати команди та викрадати файли, а іноді включає можливість робити знімки екрана.
Спеціалісти ESET виявили 116 файлів, які містять шкідливе програмне забезпечення, у 53 проектах. За рік користувачі завантажили ці файли більше 10 000 разів, а кількість встановлень на день досягала близько 80 з травня 2023 року.
PyPI популярний серед програмістів Python для обміну та завантаження коду. Оскільки будь-хто може зробити зміни у сховищі, з’являється шкідливе програмне забезпечення, яке маскується під популярні легітимні бібліотеки коду.
На сьогодні більшість пакетів уже було видалено PyPI. Однак після цього спеціалісти ESET зв’язалися з PyPI, щоб вжити заходів щодо пакетів, які залишилися. Наразі всі відомі шкідливі пакети перебувають у режимі офлайн.
Компанія ESET проаналізувала три методи додавання шкідливого коду в пакети Python, які використовують зловмисники. Перший прийом — розміщення нібито тестового модулю зі злегка заплутаним кодом всередині пакета. Друга техніка — вбудовування коду PowerShell у файл setup.py, який зазвичай запускається автоматично, щоб допомогти встановити проєкти Python. У третьому методі зловмисники не докладають зусиль для включення легітимного коду в пакет, використовуючи лише шкідливий код у злегка заплутаній формі.
Як правило, кінцевим компонентом є спеціальний бекдор, здатний віддалено виконувати команди, викрадати файли та іноді робити знімки екрана. У Windows бекдор реалізовано на Python, а у Linux — мовою програмування Go. У деяких випадках замість бекдора використовується загроза W4SP Stealer або простий інструмент для буфера обміну для крадіжки криптовалюти Bitcoin, Ethereum, Monero та Litecoin чи обидва варіанти.
«Розробники Python повинні перевірити код, який вони завантажують, перш ніж встановлювати його у своїх системах. Ймовірно, що зловмисники продовжать використання PyPI у своїх цілях, тому радимо бути обережними при встановленні коду з будь-якого загальнодоступного сховища програмного забезпечення», – рекомендує Марк-Етьєн Левейє, дослідник компанії ESET.