Киберпреступники начали использовать Stack Overflow для распространения вредоносного ПО. Они отвечают на вопросы пользователей, продвигая вредоносный пакет PyPi, который устанавливает в Windows инфостилер.
Исследователь Sonatype Акс Шарма обнаружил, что этот новый пакет PyPi является частью ранее известной кампании Cool package, названной в честь строки в метаданных пакета.
Этот пакет PyPi называется «pytoileur». В прошедшие выходные он был загружен злоумышленниками в репозиторий PyPi как «инструмент управления API».
Хакеры создали в StackOverflow учётную запись «EstAYA G», с которой рекомендуют установить этот вредоносный пакет в качестве «решения» проблемы, даже если он не отвечает запросам разработчиков.
Пакет pytoileur содержит файлы «setup.py», которые дополняют команду в кодировке Base64 пробелами, поэтому она не видна, если не включить перенос слов в IDE или редакторе текстовых файлов.
При деобфускации эта команда загрузит исполняемый файл с именем «runtime.exe» [VirusTotal] с сайта и выполнит его. Этот исполняемый файл представляет собой программу Python, преобразованную в .exe, которая действует как вредоносное ПО, крадущее информацию и собирающее файлы cookie, пароли, историю браузера, данные кредитных карт и другие.
Вся эта информация затем отправляется обратно злоумышленнику, который может продавать её в даркнете или использовать для взлома других учётных записей жертвы.
Разработчикам порекомендовали проверять источник всех пакетов, которые они добавляют в свои проекты, и их код с включённым переносом слов на наличие необычных или запутанных команд.
Ранее хакеры атаковали сообщество ботов Top.gg в Discord, насчитывающее более 170 тысяч участников. Они использовали вредоносные пакеты PyPI, которые имитировали популярные инструменты с открытым исходным кодом.
В конце марта репозиторий Python-пакетов (PyPI) временно приостановил регистрацию пользователей и создание новых проектов для борьбы с продолжающейся кампанией распространения вредоносного ПО.
