PyPI отключил три вредоносных пакета с почти 15 тыс. скачиваний

Администрация каталога программного обеспечения Python Package Index (PyPI) удалила три вредоносных пакета Python (aws-login0tool, dpp-client и dpp-client1234), предназначенных для извлечения переменных среды и установки троянов на компьютерные системы. Вредоносные пакеты были скачаны более 10 тыс. раз.

О вредоносных пакетах сообщил специалист Эндрю Скотт (Andrew Scott) из компании Palo Alto Networks. Пакет dpp-client появился на PyPI примерно 13 февраля 2021 года, dpp-client1234 — 14 февраля, а aws-login0tool — 1 декабря.

«Я обнаружил их в основном при проверке вручную файлов setup.py, которые соответствовали различным подозрительным строкам и шаблонам регулярных выражений. Например, большинство случаев exec были безобидными, но это рискованный метод в использовании, который обычно используется злоумышленниками, создающими вредоносные пакеты».

Пакет aws-login0tool предназначен для компьютеров под управлением Windows и загружает вредоносный 64-разрядный исполняемый файл normal.exe c домена tryg[.]ga. Вредоносный исполняемый файл был идентифицирован как троян 38% антивирусных ядер на VirusTotal.

Напротив, dpp-client и dpp-client1234 нацелены на системы под управлением Linux. Пакеты анализируют переменные среды, список каталогов и отправляют данную информацию на домен pt.traktrain[.]com.

Пакеты пытаются взломать несколько избранных каталогов, включая /mnt/mesos, указывая на заинтересованность разработчика в файлах, связанных с продуктом для управления кластерами с открытым исходным кодом Apache Mesos.

Примечательно, страница PyPI для aws-login0tool содержала явное предупреждение, призывающее не скачивать пакет: «Please don't use this... It does bad things... Oh, dear :(». Точно так же страницы проектов для пакетов dpp-client и dpp-client1234 содержали в своем описании простое ключевое слово «test».