Пользователь под ником Lolip0p загрузил в репозиторий Python Package Index (PyPI) три несанкционированных пакета программ, предназначенные для распространения вредоносного программного обеспечения на скомпрометированные системы разработки.
В чем заключается проблема
Эта проблема была обнаружена компанией Fortinet на прошлой неделе. В отчете говорится, что пакеты с названиями colorslib (версии 4.6.11 и 4.6.12), httpslib (версии 4.6.9 и 4.6.11) и libhttps (версия 4.6.12) были размещены в период с 7 января по 12 января 2023 года. Они уже удалены с PyPI, но ранее были загружены 550 раз.
Модули имеют идентичные установочные скрипты, предназначенные для вызова PowerShell и запуска вредоносных двоичных файлов ('Oxzy.exe'), размещенных на Dropbox. После запуска исполняемый файл запускает загрузку другого этапа, также бинарного файла с названием update.exe, который запускается во временной папке Windows ("%USER% – AppData─Local─Temp").
Эти пакеты загружают и запускают вредоносные двоичные файлы.
К открытым источникам нельзя обращаться бездумно. Недавно компания Fortinet обнаружила еще два несанкционированных пакета под названием Shaderz и aioconsol, которые имеют схожие возможности для сбора и утечки конфиденциальной личной информации.
