Шкідливі пакети Python, які маскуються під законні інструменти обфускації коду, націлені на розробників через сховище коду PyPI.
За словами дослідників Checkmarx, які назвали зловмисне програмне забезпечення «BlazeStealer», зосередження уваги на тих, хто зацікавлений у обфускації коду, — це мудрий вибір, який може запропонувати коштовність організаційної корони.
8 листопада вони попередили, що BlazeStealer викликає особливе занепокоєння, оскільки він може викрадати дані хоста, викрадати паролі, запускати кейлоггери, шифрувати файли та виконувати команди хоста. За словами дослідника загроз Checkmarx Єгуди Ґелба, це стає ще небезпечнішим завдяки вмілому вибору цілей.
«Розробники, які займаються обфускацією коду, ймовірно, працюють з цінну та конфіденційну інформацію. Як наслідок, хакери бачать у них цінні цілі для переслідування, а отже, ймовірно, стануть жертвами цієї атаки», — пояснює Гелб.
BlazeStealer є останнім у хвиля скомпрометованих пакетів Python зловмисники випустили в 2023 році. У липні дослідники Wiz попередили про PyLoose, зловмисне програмне забезпечення, що складається з коду Python, яке завантажує майнер XMRig у пам’ять комп’ютера за допомогою безфайлового процесу memfd Linux. У той час Wiz спостерігав майже 200 випадків, коли зловмисники використовували його для криптомайнінгу.
Зі свого боку, Checkmark відстежує різні шкідливі пакети на основі Python, включаючи його Відкриття Culturestreak у вересні 2023 року, який запускає паралельний цикл, щоб зв’язати системні ресурси для несанкціонованого майнінгу криптовалюти Dero.
Запуск шкідливого програмного забезпечення BlazeStealer
Корисне навантаження BlazeStealer може отримати шкідливий сценарій із зовнішнього джерела, надаючи зловмисникам повний контроль над комп’ютером жертви. За словами Гелба, зловмисне корисне навантаження BlazeStealer активується, як тільки воно встановлено в скомпрометованій системі.
Для командування та керування BlazeStealer запускає бота, який передається через службу обміну повідомленнями Discord, використовуючи унікальний ідентифікатор.
«Після активації цей бот фактично надає зловмиснику повний контроль над цільовою системою, дозволяючи йому виконувати безліч шкідливих дій на машині жертви», — попереджає Гелб. Окрім збору детальних даних про хост, BlazeStealer може завантажувати файли, деактивувати Windows Defender і диспетчер завдань, а також блокувати комп’ютер через перевантаження ЦП. Останнє виконується шляхом запуску пакетного сценарію в каталозі запуску, щоб вимкнути комп’ютер, або викликає помилку BSO за допомогою сценарію Python.
BlazeStealer також може керувати веб-камерою ПК за допомогою бота, який непомітно завантажує файл .ZIP із віддаленого сервера та встановлює безкоштовну програму WebCamImageSave.exe.
«Це дозволяє боту таємно робити фото за допомогою веб-камери. Отримане зображення потім надсилається назад на канал Discord, не залишаючи жодних доказів своєї присутності після видалення завантажених файлів», – зазначає Гелб.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer
- : має
- :є
- $UP
- 200
- 2023
- 7
- 8
- a
- За
- дії
- після
- Дозволити
- дозволяє
- Також
- an
- та
- будь-який
- додаток
- ЕСТЬ
- AS
- At
- атака
- назад
- BE
- оскільки
- стає
- крім
- Бот
- BSO
- by
- CAN
- захоплення
- carried
- Канал
- Галочка
- Чекмарк
- вибір
- код
- повний
- Компрометація
- комп'ютер
- щодо
- одночасно
- Складається
- контроль
- може
- Корона
- криптовалюта
- Майнінг криптовалют
- Небезпечний
- дані
- докладно
- Розробник
- розробників
- розбрат
- відкриття
- робить
- вниз
- скачати
- завантажень
- охрестили
- фактично
- займатися
- помилка
- Навіть
- докази
- виконувати
- Пояснює
- зовнішній
- витяг
- філе
- Файли
- для
- Війська
- від
- Повний
- збір
- дає
- хакери
- шкідливий
- Мати
- господар
- HTTPS
- ідентифікатор
- зображення
- in
- У тому числі
- встановлений
- зацікавлений
- в
- IT
- ЙОГО
- JPG
- липень
- останній
- запуск
- догляд
- законний
- Ймовірно
- Linux
- вантажі
- машина
- Машинки для перманенту
- шкідливих програм
- менеджер
- пам'ять
- обмін повідомленнями
- шахтар
- Mining
- більше
- безліч
- майже
- примітки
- листопад
- of
- пропонувати
- on
- один раз
- or
- організаційної
- над
- пакети
- частина
- особливо
- Паролі
- PC
- Виконувати
- фото
- plato
- Інформація про дані Платона
- PlatoData
- наявність
- процес
- забезпечує
- переслідувати
- Python
- випущений
- віддалений
- Сховище
- дослідник
- Дослідники
- ресурси
- результат
- в результаті
- біг
- пробіжки
- s
- кмітливість
- сценарій
- побачити
- чутливий
- посланий
- сервер
- обслуговування
- Вимикати
- Source
- введення в експлуатацію
- система
- Приймати
- поглинання
- Мета
- цільове
- націлювання
- цілі
- Завдання
- Дякую
- Що
- Команда
- Їх
- потім
- отже
- це
- ті
- загроза
- TIE
- час
- до
- інструменти
- несанкціонований
- створеного
- використовуваний
- використання
- Цінний
- різний
- через
- Жертва
- жертви
- Попереджає
- хвиля
- Веб-камера
- який
- ВООЗ
- windows
- з
- без
- робочий
- зефірнет
- Zip