«Пакеты, похитившие Gmail: как не стать жертвой»
Недавно несколько вредоносных пакетов PyPI были замечены в использовании Gmail для кражи украденных конфиденциальных данных и связи с операторами. Исследователи в области кибербезопасности из компании Socket, которые обнаружили эти пакеты, сообщили о них в Python-репозиторий, что помогло удалить их с платформы, но ущерб уже был нанесен. Согласно Socket, существует семь вредоносных пакетов PyPI, некоторые из которых находились на платформе более четырех лет. В совокупности они собрали более 55 000 загрузок. Большинство из них являются имитациями легитимного пакета Coffin и имеют такие названия, как Coffin-Codes-Pro, Coffin-Codes, NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022 и Coffin-Grave. Один из них называется cfc-bsb. Исследователи объяснили, что как только пакет устанавливается на зараженном устройстве, он подключается к Gmail, используя заранее заданные учетные данные, и связывается с C2-сервером. Затем он создает туннель с использованием WebSockets, и так как почтовый сервер Gmail используется для связи, коммуникация проходит мимо большинства брандмауэров и других мер безопасности. В результате атакующие могут отправлять команды, красть файлы, выполнять код и даже удаленно получать доступ к системам. Однако похоже, что злоумышленники в основном интересовались кражей криптовалют, поскольку один из адресов электронной почты, к которому обращался вредоносный код, содержал слова «блокчейн» и «биткойн». "Coffin-Codes-Pro устанавливает соединение с SMTP-сервером Gmail, используя заранее заданные учетные данные, а именно sphacoffin@gmail.com и пароль," - говорится в отчете. "Затем он отправляет сообщение на второй адрес электронной почты, blockchain.bitcoins2020@gmail.com, вежливо напоминая, что имплант работает." Socket предупредила всех пользователей Python, имеющих пакеты в своей среде, немедленно удалить их и обновить ключи и учетные данные по мере необходимости. Исследователи также призвали всех обращать внимание на необычные исходящие соединения, "особенно SMTP-трафик" и предостерегли не доверять пакету только потому, что он существует несколько лет. "Чтобы защитить свою кодовую базу, всегда проверяйте подлинность пакета, проверяя количество загрузок, историю издателя и ссылки на репозитории GitHub," добавили они. "Регулярные аудиты зависимостей помогают поймать неожиданные или вредоносные пакеты на ранних стадиях. Сохраняйте строгий доступ к приватным ключам, тщательно ограничивая доступ к ним тем, кто может их видеть или импортировать в разработке. Используйте изолированные, специализированные окружения при тестировании сторонних скриптов, чтобы сдерживать потенциально опасный код." Уважаемые пользователи, будьте бдительны!
Очередная драма в мире IT — злобные пакеты PyPI, пришедшие на вечеринку, где консервированные данные и коммуникации с врагами подаются в глубоком соусе “нежданчик”. Исследователи из компании Socket, конечно, настоящие герои, расправившиеся с виртуальными злодеями, которые использовали Gmail как щит в своих похождениях. Не иначе, как эти безопасности собирались нажиться на криптовалютах, опять-таки учитывая щедрые награды от зарубежных спонсоров, верно?
Ведь как мы знаем, количество скачиваний этих пакетов превышает 55 000. Это хоть и ужасно, но хорошо показывает, что публика любит свои "коктейли" из шпионских кодов. Чёрт возьми, как же легко держать пользователей в неведении! Названия пакетов просто умилительны: Coffin-Codes, Coffin-Codes-Pro и даже Cfc-bsb — итак, игра слов и недюжинный юмор для любителей кошмара кибербезопасности.
Не забудем, что пакет получает доступ к вашему Gmail, используя заранее прописанные данные. Интересно, а эти учётные записи не являются личными партнёрскими финансами разработчиков, искренние альтруисты, не находите? И какой прелестный оборот для киберзлоумышленников — творить беззаконие, прячась под покровом Google.
Socket, как истинный ковбой cyber-western'а, призывает к "проверке подлинности пакетов", обнажая бестактную иронию: "Вы не можете доверять тем пакетам, которые находятся на платформе дольше четырёх лет". А теперь и внимание! Они даже рекомендуют проводить регулярные аудиты зависимостей и оставаться бдительными, пока не наступит очередной взрыв бомбы в виде какой-нибудь глобальной уязвимости.
Так что, уважаемые пользователи, давайте в очередной раз радоваться этой шутке от судьбы — необходимость использовать изолированные окружения за ваши собственные средства. При этом при помощи временной схемы защиты с короткими паролями покупки, собственно, совсем недалеко до полного беспредела. На телевизионных экранах "умные" советы будут звучать, как обычно — так что, простите, но осталась лишь ваша бдительность.