На днях исследователями кибербезопасности было обнаружено, что вредоносный пакет Python — высокоуровневый язык программирования общего назначения с динамической строгой типизацией и автоматическим управлением памятью. Он ориентирован на повышение производительности разработчика, читаемости кода и его качества, а также на обеспечение переносимости написанных на нём программ.
Язык является полностью объектно-ориентированным.
Необычная особенность языка — выделение блоков кода пробельными отступами.
Синтаксис ядра языка минималистичен, за счёт чего на практике редко возникает необходимость обращаться к документации
» data-html=»true» data-original-title=»Python»>Python, загруженный в репозиторий PyPI, содержит полнофункциональный похититель информации и троян удаленного доступа.
Пакет под названием «colourfool» был идентифицирован компанией Kroll — это международная компания, специализирующаяся на кибербезопасности и риск-менеджменте. Она была основана в 1972 году и имеет офисы в различных странах мира.
Компания предоставляет услуги по обеспечению безопасности информации, защите от киберугроз, расследованию киберпреступлений и технической поддержке в случае инцидентов безопасности.
» data-html=»true» data-original-title=»Kroll»>Kroll. Специалисты присвоили ему внутреннее название «Colour-Blind» и добавили, что исходный код вредоноса запросто может быть использован для создания новых вариантов зловредного ПО.
Как и другие мошеннические модули Python, обнаруженные в последние месяцы, пакет «colorfool» скрывает свой вредоносный код в установочном скрипте, получающем полезную нагрузку, размещенную в Discord. Файл содержит скрипт Python, который поставляется с различными модулями, предназначенными для регистрации нажатий клавиш, кражи cookie-файлов и даже отключения антивирусных продуктов.
Вредоносное ПО способно определять, выполняется ли оно в песочнице или реальной операционной системе, а также устанавливать своё постоянство с помощью скрипта Visual Basic и использовать сервис transfer.sh для кражи данных.
«В качестве метода удаленного управления вредоносное ПО запускает веб-приложение Flask, которое делает вредонос общедоступным через утилиту «cloudflared», обходя любые входящие правила брандмауэра», — сказали исследователи.
Использование туннелей Cloudflare напоминает другую кампанию, раскрытую
специалистами Phylum — это компания, специализирующаяся на кибербезопасности и защите информации. Компания была основана в 2014 году в Соединенных Штатах Америки.
Phylum предоставляет широкий спектр услуг, включая аудит безопасности, защиту от кибератак и уязвимостей, мониторинг безопасности, управление рисками и обучение сотрудников компаний вопросам безопасности информации.