Специалисты по кибербезопасности из компании Socket выявили серьезную угрозу в репозитории Python Package Index (PyPI). Обнаружено семь вредоносных пакетов, которые использовали нестандартную технику атаки через SMTP-серверы Gmail и WebSocket-соединения для компрометации систем и хищения конфиденциальных данных.
Масштаб и продолжительность атаки
Особую тревогу вызывает тот факт, что некоторые из вредоносных пакетов оставались незамеченными в течение четырех лет. Один из пакетов был загружен более 18 000 раз, что указывает на потенциально широкий масштаб компрометации. Злоумышленники маскировали свои пакеты под легитимный инструмент Coffin, используемый для интеграции шаблонов Jinja2 в проекты Django.
Механизм работы вредоносного ПО
Технический анализ выявил сложную двухэтапную схему атаки. На первом этапе малварь использовала предустановленные учетные данные для подключения к SMTP-серверу Gmail (smtp.gmail.com). Этот метод оказался особенно эффективным для обхода систем безопасности, поскольку Gmail считается доверенным сервисом, и его активность редко вызывает подозрения у систем защиты периметра.
Продвинутые техники персистентности
После первичного закрепления вредоносное ПО устанавливало защищенное WebSocket-соединение через SSL с командным сервером атакующих. Через этот зашифрованный канал создавался двунаправленный туннель, позволяющий злоумышленникам осуществлять широкий спектр вредоносных действий: от кражи учетных данных до удаленного выполнения команд.
Целевая направленность атак
Анализ инфраструктуры атакующих, включая использованные почтовые адреса (например, [email protected]), указывает на то, что основной целью злоумышленников была кража криптовалюты. Эксперты отмечают схожесть тактик с предыдущими кампаниями, направленными на хищение приватных ключей Solana.
Данный инцидент подчеркивает критическую важность тщательной проверки сторонних зависимостей в проектах и необходимость использования инструментов автоматизированного аудита безопасности пакетов. Разработчикам рекомендуется внедрять многоуровневую систему верификации используемых компонентов и регулярно проводить аудит зависимостей на предмет потенциальных угроз безопасности.
