Злонамеренные пакеты Python крадут важные данные и уже были скачаны тысячи раз

Исследователи обнаружили три вредоносных пакета PyPI, два из которых были направлены на разработчиков биткойнов, а один — на магазины WooCommerce. Два из них предназначены для кражи данных, а третий — для проверки действительности кредитных карт. Все три пакета с тех пор были удалены из репозитория.

Несколько пакетов с открытым исходным кодом в репозитории Python Package Index (PyPI) оказались вредоносными и, вероятно, поставили под угрозу тысячи устройств, предупреждают эксперты. Исследователи по кибербезопасности из ReversingLabs обнаружили два вредоносных пакета: «bitcoinlibdbfix» и «bitcoinlib-dev», общее количество загрузок которых составляет около 2000. Они позиционируют себя как исправление для законного модуля Python под названием «bitcoinlib», который содержит функции для создания и управления кошельками криптовалют.

Недавно в сообществе обсуждался вопрос, связанный с тем, как пакет генерирует сообщения об ошибках. Мошенники увидели в этом возможность и создали два вредоносных пакета, вмешавшись в разговор, чтобы распространить их. Похоже, это не сработало: «Вредное содержимое этой библиотеки было обнаружено участниками проекта, и комментарии были удалены», — заявила ReversingLabs.

Обе библиотеки предприняли аналогичную атаку, пояснили исследователи. Идея заключалась в том, чтобы перезаписать законный команд «clw cli» вредоносным кодом для кражи конфиденциальных файлов базы данных.

В то же время исследователи из Socket обнаружили третий пакет, который не направлен на разработчиков биткойнов, а на магазины WooCommerce. Более того, этот пакет даже не пытается скрывать свои истинные намерения и, вместо этого, является «открыто вредоносным». Несмотря на то что он был очевидным вредоносным ПО, ему все же удалось получить 37 217 загрузок.

Этот вредоносный код называется «disgrasya» и работает как полностью автоматизированный скрипт для кражи кредитных карт. «Вредная нагрузка была введена в версии 7.36.9, а все последующие версии содержали тот же встроенный код атаки», — заявила Socket.

Кража кредитных карт — это вид киберпреступности, при которой украденная информация о кредитных картах используется для совершения несанкционированных покупок или проверки активности карты. Поскольку преступники часто покупают эти данные кредитных карт в даркнете, тот, кто создал и распространил disgrasya, мог получить от этого большую прибыль.