Школьник-хакер из Вероны (что в Италии) в очередной раз продемонстрировал разработчикам, насколько важно уделять особое внимание тому, что ты скачиваешь из публичных репозиториев. Юный пакостник загрузил в репозиторий PyPI скрипты шифровальщика.
В результате на площадке Python Package Index осел ряд вредоносных Python-пакетов, в которых содержались скрипты программы-вымогателя. Это был якобы эксперимент.
Молодой человек назвал пакеты “requesys“, “requesrs“ и “requesr“ — типичные ошибочные написания слова “requests“, которое является также именем популярной легитимной HTTP-библиотеки для Python.
На вредоносный код в PyPI обратили внимание исследователи из Sonatype. Например, один из опасных пакетов — “requesys“ — загрузили около 258 раз, причём большинство загрузивших просто опечаталась при поиске пакета “requests“.
Скрипты, которые юный хакер спрятал в пакет, искали директории «Документы», «Загрузки», «Изображения» в системе Windows, а затем шифровали их содержимое.
Одна из версий пакета “requesys“ содержала код шифрования и расшифровки в виде простого текста на Python. А вот в других вариантах эксперты нашли обфусцированный Base64 исполняемый файл, что затруднило анализ.
Напомним, что в середине марта стало известно о популярном NPM-пакете, который вдруг стал вредоносным: портил файловые системы из России и Белоруссии.
