В каталоге PyPI выявлены вредоносные пакеты

24 октября 2018 года

Wikinews-logo-ru.svg

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama" и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows.

После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга, при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователи, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 тысячи пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В каталоге PyPI выявлены вредоносные пакеты», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В каталоге PyPI выявлены вредоносные пакеты