Специалисты компании Fortinet выявили серьезную угрозу безопасности в популярном репозитории Python Package Index (PyPI). Два вредоносных пакета — zebo и cometlogger — были обнаружены и удалены после того, как суммарно набрали более 280 загрузок. Основная часть установок пришлась на пользователей из США, Китая, России и Индии.
Функциональность и механизмы работы вредоносного ПО
Пакет zebo представляет собой комплексное вредоносное ПО для слежки и несанкционированного доступа к системам. Малварь использует продвинутые методы обфускации, включая шестнадцатеричное кодирование строк, для маскировки связи с командным сервером. Особую опасность представляет способность программы к автоматическому закреплению в системе через создание batch-скрипта в папке автозагрузки Windows.
Возможности сбора данных
Функционал zebo включает использование библиотеки pynput для регистрации нажатий клавиш и модуля ImageGrab для создания скриншотов. Захваченные изображения временно сохраняются локально, после чего автоматически выгружаются на хостинг ImgBB с использованием API-ключа, полученного от командного сервера.
Угроза Cometlogger: многоцелевой похититель данных
Второй обнаруженный пакет, cometlogger, специализируется на краже широкого спектра пользовательских данных. Вредонос способен извлекать файлы cookie, пароли, токены и учетные данные из популярных сервисов, включая Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox. Дополнительно малварь собирает системную информацию, сетевые параметры, данные о Wi-Fi подключениях и активных процессах.
Высокая эффективность cometlogger достигается за счет использования асинхронного выполнения задач, что позволяет похищать значительные объемы данных в кратчайшие сроки. Специалисты по информационной безопасности настоятельно рекомендуют разработчикам тщательно проверять все устанавливаемые пакеты и избегать использования кода из непроверенных источников. Внимательный аудит зависимостей и регулярный мониторинг активности системы являются ключевыми элементами защиты от подобных угроз.
