В репозитории PyPi нашли три пакета со скриптом, загружающим инфостилера
Главная » Новости

В репозитории PyPi нашли три пакета со скриптом, загружающим инфостилера

Татьяна Никитина 17 Января 2023 - 15:54
...
В репозитории PyPi нашли три пакета со скриптом, загружающим инфостилера

Исследователи из Fortinet обнаружили на сайте PyPi[.]org вредоносные пакеты colorslib, httpslib и libhttps, опубликованные под аккаунтом Lolip0p. До удаления из репозитория три модуля успели суммарно собрать более 550 загрузок.

Пользователь Lolip0p присоединился к PyPi-сообществу 7 января и в тот же день выложил в общий доступ colorslib и httpslib. Через пять дней он опубликовал libhttps; к этому времени два других пакета уже получили обновления. Всех зловредов по наводке экспертов вычистили из репозитория 14 января.

Примечательно, что злоумышленник не стал маскировать свои творения под популярные библиотеки. Вместо этого он использовал вполне безобидные имена и описания, способные убедить пользователей в благонадежности кода.

Проведенный в Fortinet анализ показал, что все три пакета содержат один и тот же скрипт setup.py, который пытается запустить PowerShell для загрузки исполняемого файла с Dropbox. Бинарник Oxzy.exe (уровень детектирования 25 из 69, согласно результатам VirusTotal от 17 января) — скорее всего, дроппер; он загружает в %USER%\AppData\Local\Temp\ другой исполняемый файл — update.exe.

По данным BleepingComputer, вредонос Oxzy.exe также распространяется под видом бесплатного генератора Discord Nitro.

На следующем этапе атаки update.exe (26 из 69, по состоянию на 17 января) дропает в ту же папку временных файлов дополнительные бинарники. Один из них, SearchProtocolHost.exe, некоторые антивирусы из коллекции VirusTotal опознают как инфостилер (20 из 70 на 17 января).

Подобные злоупотребления на PyPi.org нередки. Отчасти тому виной недостаточно тщательная проверка кодов (Malware Checks), загружаемых в публичное хранилище; в результате систему, по свидетельству Positive Technologies, можно с легкостью обойти.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Почти треть российских нефтегазовых компаний считают свои ЦОД уязвимыми
Яков Шпунт 12 Февраля 2025 - 20:49
Серверы и дата центры ЭксплойтыТрояныУязвимости программ КорпорацииГосударство
Почти треть российских нефтегазовых компаний считают свои ЦОД уязвимыми

Согласно опросу ИТ и ИБ-специалистов российских нефтегазовых компаний, проведенному ГК «Гарда», 39% респондентов считают несанкционированный доступ к информационным и промышленным системам основной угрозой. Наиболее уязвимыми объектами участники исследования назвали центры обработки данных (ЦОД).

Наибольшую обеспокоенность среди специалистов вызывает несанкционированный доступ к системам (39%). Существенно меньшее число респондентов отмечают утечки или повреждение информации (14%) и фальсификацию данных (11%).

Другие угрозы, упомянутые в ходе опроса:

  • Атаки с использованием эксплойтов, червей и троянов – 10%;
  • DDoS-атаки, нарушение правил хранения данных – 7%;
  • Фишинговые атаки – 7%;
  • Атаки типа Man in the Middle (MITM) – 3%;
  • Эксплуатация уязвимостей в сетевых протоколах – 2%.

Наиболее подверженными киберугрозам участники опроса считают:

  • ЦОД (30%) – критически важные узлы инфраструктуры, которые, по мнению специалистов, наиболее уязвимы;
  • Системы управления производственными процессами (ICS/SCADA) (20%);
  • Системы безопасности и аварийного отключения (ESD), а также системы связи и передачи данных (по 15%);
  • Промышленные контроллеры (PLC/DCS), IoT-системы, информационные системы снабжения и логистики, а также системы мониторинга оборудования (по 5%).

Наиболее важными категориями данных для защиты респонденты назвали:

  • ERP-системы и хранимые в них данные – 18%;
  • Промысловые данные и сведения о клиентах, партнерах и дистрибьюторах – по 15%;
  • Данные о хранении и транспортировке, геолого-геофизическая информация – по 12%;
  • Правила и регламенты в области безопасности и охраны труда – 6%;
  • Информация о проверках оборудования – 3%.

Среди ключевых средств информационной безопасности, используемых в нефтегазовых компаниях, респонденты отметили:

  • Межсетевые экраны (NGFW, WAF, DBF, FW);
  • DLP-системы;
  • Системы предотвращения вторжений (IDS/IPS);
  • Антивирусные решения;
  • Криптошлюзы.

Опрос демонстрирует высокий уровень внимания к защите инфраструктуры нефтегазовой отрасли, однако также подчеркивает необходимость дальнейшего развития мер информационной безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Apple: Мы не продаём записи Siri рекламодателям и другим третьим лицам
Новость
Apple: Мы не продаём записи Siri рекламодателям и другим тре...
Выручка Кода Безопасности выросла на 38% — до 12,7 млрд рублей
Новость
Выручка Кода Безопасности выросла на 38% — до 12,7 млрд рубл...
Вышла система для контроля внешних устройств — InfoWatch Device Control
Новость
Вышла система для контроля внешних устройств — InfoWatch Dev...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.