Команда дослідників з компанії Socket виявила критичну загрозу безпеки в офіційному репозиторії Python Package Index (PyPI). Зловмисники розмістили сім шкідливих пакетів, які використовують інноваційну техніку атаки через SMTP-сервери Gmail та захищені WebSocket-з’єднання для компрометації систем та викрадення конфіденційних даних користувачів.
Безпрецедентна тривалість та масштаб кампанії
Особливе занепокоєння викликає той факт, що деякі шкідливі пакети залишались непоміченими протягом чотирьох років. Найпопулярніший з виявлених пакетів був завантажений понад 18 000 разів, що свідчить про потенційно масштабний вплив атаки. Зловмисники маскували свої пакети під легітимний інструмент Coffin, який широко використовується для інтеграції шаблонів Jinja2 у проекти Django.
Технічний аналіз механізму атаки
Дослідження виявило складну двоетапну схему компрометації систем. На першому етапі шкідливе програмне забезпечення встановлювало з’єднання з SMTP-сервером Gmail (smtp.gmail.com) використовуючи вбудовані облікові дані. Цей підхід виявився надзвичайно ефективним для обходу систем безпеки, оскільки Gmail вважається довіреним сервісом і рідко викликає підозри у систем захисту.
Просунуті методи підтримки доступу
Після початкового проникнення малвар встановлював захищене WebSocket-з’єднання через SSL з командним сервером атакуючих. Через цей шифрований канал створювався двонаправлений тунель, що надавав зловмисникам широкі можливості для проведення шкідливих операцій – від викрадення облікових даних до віддаленого виконання команд на скомпрометованих системах.
Фокус на криптовалютних активах
Аналіз інфраструктури зловмисників, включаючи використані поштові адреси (наприклад, [email protected]), вказує на те, що основною метою атаки було викрадення криптовалютних активів. Експерти відзначають схожість використаних технік з попередніми кампаніями, спрямованими на компрометацію приватних ключів Solana.
Цей інцидент демонструє критичну важливість ретельної перевірки сторонніх залежностей у Python-проектах. Розробникам рекомендується впроваджувати багаторівневу систему верифікації компонентів, використовувати інструменти автоматизованого аудиту безпеки пакетів та регулярно оновлювати залежності до найновіших версій. Додатково варто розглянути впровадження систем моніторингу мережевої активності для виявлення підозрілих з’єднань з невідомими серверами.
