Новые пакеты в PyPI устанавливают троян WhiteSnake на Windows-компьютеры

Новые пакеты в PyPI устанавливают троян WhiteSnake на Windows-компьютеры

Новые пакеты в PyPI устанавливают троян WhiteSnake на Windows-компьютеры

В репозитории Python Package Index (PyPI) нашлась очередная порция вредоносных пакетов, доставляющих на Windows-компьютеры вредоносную программу WhiteSnake. Задача «белой змеи» — вытащить конфиденциальные данные жертвы.

Пакеты, которых стоит остерегаться, имеют следующие имена: nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Их загрузил злоумышленник с ником WS.

«В упомянутых пакетах можно найти зашифрованный Base64 исходный код Python-скриптов. Он располагается в файлах setup.py. В зависимости от версии операционной системы конечный пейлоад устанавливается после инсталляции Python-пакетов», — пишет в отчёте команда Fortinet FortiGuard Labs.

Если на целевом компьютере установлена Windows, жертва получает в систему вредонос WhiteSnake. Пользователям Linux достаётся скрипт на Python, собирающий конфиденциальную информацию.

В феврале прошлого года мы писали про WhiteSnake, который может атаковать как Windows, так и Linux. Тем не менее функциональность трояна в *nix-системах ограничена.

Летом прошлого года киберпреступники рассылали WhiteSnake российским компаниям от лица Роскомнадзора.

«Белая змея» может вытаскивать данные из браузеров, криптовалютных кошельков и популярных приложений: WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.

 

Исследователи из Checkmarx считают, что за распространением WhiteSnake стоит группировка PYTA31. Интересно, что найденные в PyPI пакеты демонстрируют функциональность клипера — вредоноса, перехватывающего данные в буфере обмена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Госдуму внесено два законопроекта по противодействию мошенникам

Правительство внесло в Госдуму два законопроекта, которые наделяют следственные органы правом приостанавливать операции по счетам граждан при подозрении, что средства были похищены. Временная блокировка будет действовать до 10 дней и коснётся только той суммы, которая была украдена.

Как сообщает «Коммерсант», документы предусматривают поправки в Уголовно-процессуальный кодекс (УПК) и закон «О банках и банковской деятельности».

В пояснительной записке отмечается, что законопроекты разработаны «в целях повышения оперативности и эффективности противодействия преступлениям, связанным с хищением и выводом денежных средств с использованием информационно-телекоммуникационных технологий». С инициативой выступил председатель Следственного комитета Александр Бастрыкин на коллегии ведомства в феврале 2025 года. Сейчас действующее законодательство предусматривает возможность ареста активов только по решению суда.

«У следствия нет сегодня инструмента, с помощью которого можно адекватно реагировать на изменившуюся ситуацию. Проектируемая норма может стать таким средством и существенно ускорить реакцию правоохранительных органов на попытки хищения средств, — считает заведующий кафедрой экономической безопасности и управления рисками Финансового университета при правительстве РФ Игорь Лебедев. — По сути, у нас нет другого выхода: необходимо менять подход к реагированию на действия мошенников, и если для этого нужно ограничить права меньшинства ради защиты прав большинства, то это следует сделать».

Он также отметил, что в документе предусмотрен чёткий механизм контроля за действиями следователей.

«По нашим подсчётам, если блокировать подозрительный счёт в течение трёх часов, это увеличивает объём возвращаемых средств на 30%. При этом любое промедление резко снижает вероятность возврата», — пояснил МВА-профессор бизнес-практики по цифровым финансам президентской академии РАНХиГС Алексей Войлуков.

«Процедуры, предусмотренные действующим УПК, не позволяют оперативно реагировать на хищения средств в современных условиях, — отмечает глава Национального совета финансового рынка Андрей Емелин. — Новый механизм, хоть и является самым быстрым из предусмотренных законом, будет действительно эффективным только при условии внедрения ещё более оперативных мер на стороне банков».

«Важно понимать, что приостановка операций возможна только по инициативе следователя с согласия руководителя следственного органа или дознавателя с санкции прокурора — и лишь в экстренных случаях, — подчеркнул руководитель аппарата правительства РФ Дмитрий Григоренко. — В течение указанного срока в суд должно быть направлено ходатайство о наложении ареста на имущество либо вынесено постановление об отмене блокировки».

Григоренко также заверил, что новые меры не приведут к нарушению банковской тайны, поскольку они являются частью процессуальных действий и предполагают последующий судебный контроль.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru