Користувач під ніком Lolip0p завантажив до репозиторію Python Package Index (PyPI) три несанкціоновані пакети програм, призначені для розповсюдження шкідливого програмного забезпечення на скомпрометовані системи розробки.
У чому полягає проблема
Ця проблема була виявлена компанією Fortinet минулого тижня. У звіті йдеться, що пакети з назвами colorslib (версії 4.6.11 і 4.6.12), httpslib (версії 4.6.9 і 4.6.11) і libhttps (версія 4.6.12) були розміщені в період з 7 січня по 12 січня 2023 року. Вони вже видалені з PyPI, але раніше були завантажені 550 разів.
Модулі мають ідентичні інсталяційні скрипти, призначені для виклику PowerShell і запуску шкідливих двійкових файлів ('Oxzy.exe'), розміщених на Dropbox. Після запуску виконуваний файл запускає завантаження іншого етапу, також бінарного файлу з назвою update.exe, який запускається у тимчасовій папці Windows ("%USER%AppData─Local─Temp").
Ці пакунки завантажують і запускають шкідливі двійкові файли.
До відкритих джерел не можна звертатися бездумно. Нещодавно компанія Fortinet виявила ще два несанкціонованих пакети під назвою Shaderz та aioconsol, які мають схожі можливості для збору та витоку конфіденційної особистої інформації.
