Сегодня в подборке новостей от Jet CSIRT — компрометация пакета PyPI и библиотеки PHP, вредоносная кампания с Snake Keylogger и новое исследование вредоноса BPFDoor. Новости собирал Александр Ахремчик, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее — под катом.
Пакет PyPI и библиотека PHP были скомпрометированы
На этой неделе пакет PyPI ctx был скомпрометирован и использовался для кражи переменных среды у его пользователей. Кроме того, стало известно, что разветвленный PHP-проект Рhpass также подвергся атаке с перехватом репозитория, при этом проект содержал идентичную вредоносную полезную нагрузку. Пакет ctx имеет в среднем более 22 000 загрузок в неделю, а PHP-пакет Phpass, распространяющийся через репозиторий Composer, за всё время был загружен более 2,5 млн раз.
Обнаружен кейлоггер, распространяющийся через PDF-файлы
Команда HPW Wolf Security обнаружила новую вредоносную кампанию, в которой злоумышленники распространяют зараженные PDF-файлы, содержащие Snake Keylogger. Snake Keylogger — это вредоносное ПО для кражи конфиденциальной информации с устройства жертвы, разработанное с использованием .NET, впервые появившееся в конце 2020 года. Исследователи также отмечают, что киберпреступники используют уязвимость CVE-2017-11882, которая присутствовала в продуктах компании на протяжении 17 лет.
Бэкдор BPFDoor использует уязвимость Solaris для повышения привилегий
Новое исследование внутренней работы вредоносного ПО BPFDoor для Linux и Solaris показывает, что разработчики, стоящие за ним, использовали старую уязвимость CVE-2019-3010 для обеспечения устойчивости в целевых системах. BPFDoor — это специальный бэкдор, который в течение как минимум пяти лет практически незамеченным использовался для кибератак на телекоммуникационные, правительственные, образовательные и логистические организации.
