Вредоносные пакеты из PyPI используют Gmail и веб-сокеты

Gurd 07/05/2025 0
Вредоносные пакеты из PyPI используют Gmail и веб-сокеты

Специалисты выявили семь опасных пакетов в репозитории PyPI, которые применяли SMTP-серверы Gmail и веб-сокеты для несанкционированного извлечения информации и дистанционного исполнения команд.

Эти пакеты были обнаружены аналитиками из Socket, которые уведомили PyPI о своих открытиях, что привело к их удалению. Тем не менее, некоторые из них находились в PyPI более четырех лет, а один из пакетов был скачан свыше 18 000 раз.

Вредоносное ПО было обнаружено в следующих пакетах:

Coffin-Codes-Pro (9000 скачиваний);

Coffin-Codes-NET2 (6200 скачиваний);

Coffin-Codes-NET (6100 скачиваний);

Coffin-Codes-2022 (18 100 скачиваний);

Coffin2022 (6500 скачиваний);

Coffin-Grave (6500 скачиваний);

cfc-bsb (2900 скачиваний).

Зловредные пакеты маскировались под легитимный пакет Coffin, который представляет собой упрощенное решение для интеграции Jinja2-шаблонов в Django-проекты.

Скрытые вредоносные функции этих пакетов были направлены на тайный удаленный доступ и компрометацию данных посредством Gmail.

Для входа на SMTP-сервер Gmail (smtp.gmail.com) пакеты использовали заранее заданные учетные данные, отправляя злоумышленникам информацию, собранную с зараженных машин. Эта информация позволяла удаленно управлять взломанной системой. Так как Gmail считается надежным источником, сетевые экраны и системы EDR редко идентифицируют подобную активность как подозрительную.

После отправки данных по электронной почте, вредоносное ПО устанавливало соединение с удаленным сервером, используя WebSocket через SSL, получая инструкции для настройки защищенного двустороннего туннеля между хостом и злоумышленником.

Используя класс Client, вредоносная программа перенаправляла трафик из удаленной системы в локальную через этот туннель. Это давало возможность получить доступ к внутренним административным панелям и API, передавать файлы, похищать электронную корреспонденцию, исполнять команды оболочки, собирать учетные данные и перемещаться по сети.

Эксперты предполагают, что основной целью этих пакетов была кража криптовалюты. Подтверждением тому служат используемые адреса электронной почты (например, blockchain.bitcoins2020@gmail.com), а также то, что ранее злоумышленники применяли аналогичные методы для кражи приватных ключей Solana.

Источник   —   https://xakep.ru/

About The Author

Gurd

See author's posts

Post Views: 45

Больше историй

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0

Добавить комментарий

Возможно, вы пропустили

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0
xrp-kriptovalyuta-ripple-ii-jpg

Чaт-бoт ChatGPT выпoлнил пpoгнoз пo цeнe XRP нa 1 июня 2025 гoдa

Gurd 12/05/2025 0
Ransomware Via JPG Images

Хакеры используют изображения JPG для запуска полностью невидимого вируса-вымогателя

Gurd 12/05/2025 0