В хранилището на популярния език за програмиране Python бяха открити

В хранилището на известния език за програмиране Python бяха открити два зловредни пакета
(снимка: CC0 Public Domain)

Злонамерени п акети, които крадат ключове от сметки в обществени мрежи , бяха открити в формалното вместилище на езика за програмиране Python. Преди да бъдат отстранени, пакетите са изтеглени стотици пъти от консуматори.

Официалното вместилище на Python разпознава два злонамерени пакета, способни да извлекат сензитивна информация от компрометирани хостове. Според FortiGuard Labs (собственост на Fortinet), това са пакетите Zebo и Cometlogger. Преди да бъдат извадени, те са изтеглени надлежно 118 и 164 пъти. Повечето изтегляния са осъществени в Съединени американски щати, Китай, Русия и Индия.

Според специалистите, Zebo е „ характерен образец за злонамерена стратегия, чиито функционалности са ориентирани към наблюдаване, извеждане на данни и приемане на неоторизиран надзор ”. Що се отнася до Cometlogger, този пакет може динамично да манипулира файлове, да инжектира уеб „ кукички ” (webhooks), да краде данни и да ревизира дали средата за осъществяване е виртуална машина, отбелязва изследователката Джена Уанг.

Първият от двата пакета употребява обфускация – шестнадесетично кодирани низове, които разрешават да се скрият адресите на командния сървър. Въпреки това Zebo обменя данни с този сървър посредством HTTP поръчки. Освен това въпросният програмен продукт има и доста благоприятни условия за събиране на данни.

По-специално, пакетът употребява библиотеката pynput за прихващане на натискания на клавиши и ImageGrab, с който прави екранни фотоси един път на час – те първо се записват локално и по-късно се качват на безплатния ImgBB хостинг благодарение на API ключ, получен от командния сървър.

Злонамереният програмен продукт подсигурява своето непрекъснато наличие благодарение на batch-скрипт, който извършва код на Python. Скриптът се прибавя към директорията Windows Startup, тъй че да се извършва при всяко рестартиране.

Пакетът Cometlogger, от своя страна, демонстрира доста по-широк набор от данни – бисквитки, пароли, токени и друга информация, обвързвана с сметки в Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox.

Освен това той е кадърен да открадне систематични метаданни, информация за мрежовата среда и Wi-Fi, лист с дейни процеси и наличието на клипборда. Има също вградени функционалности за разкриване на виртуални среди (в които ще се опита да не работи) и деактивиране на процеси, свързани с уеб браузъри, с цел да се обезпечи безграничен достъп до файлове.

Съдейки по относително ниския брой изтегляния, наподобява, че и двата пакета са уловени и обезвредени бързо. Но явно сходни обстановки ще се повтарят още веднъж и още веднъж, в случай че операторите на хранилището PyPI не подхващат радикални ограничения, с цел да ги предотвратят.

За всеки случай потребителите на Python следва деликатно да ревизират всеки код и всички софтуерни съставни елементи, получени от съмнителни източници, поучават експертите по сигурност.