Команда дослідників з компанії Fortinet виявила критичну загрозу безпеки в популярному сховищі пакетів Python Package Index (PyPI). Два шкідливі пакети – zebo та cometlogger – встигли набрати понад 280 завантажень перед їх виявленням та видаленням. Географія атак охопила користувачів з США, Китаю, Росії та Індії, що свідчить про глобальний масштаб загрози.
Аналіз функціоналу шкідливого пакету Zebo
Дослідження показало, що пакет zebo є комплексним шпигунським інструментом з розширеними можливостями персистентності. Шкідливе ПЗ використовує складні методи обфускації коду, включаючи шістнадцяткове кодування рядків, щоб приховати комунікацію з командним сервером (C2). Особливу небезпеку становить механізм автоматичного закріплення в системі через створення batch-скрипта в теці автозавантаження Windows.
Механізми збору конфіденційних даних
Технічний аналіз виявив, що zebo використовує бібліотеку pynput для кейлогінгу та модуль ImageGrab для створення знімків екрану. Захоплені зображення тимчасово зберігаються локально, після чого автоматично вивантажуються на хостинг ImgBB з використанням API-ключа, отриманого від C2-сервера. Така архітектура забезпечує ефективний збір конфіденційної інформації без привертання уваги систем безпеки.
Cometlogger: багатоцільовий викрадач облікових даних
Другий виявлений пакет, cometlogger, спеціалізується на масовому викраденні користувацьких даних. Шкідливе ПЗ здатне екстрагувати cookies, паролі, токени та облікові дані з популярних сервісів, включаючи Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify та Roblox. Додатково збирається системна інформація, параметри мережі, дані про Wi-Fi підключення та активні процеси.
Фахівці з кібербезпеки наголошують на необхідності впровадження комплексного підходу до захисту від подібних загроз. Рекомендується регулярно проводити аудит залежностей проєкту, використовувати довірені джерела програмного забезпечення та впроваджувати системи моніторингу безпеки. Особливу увагу слід приділяти перевірці нових пакетів перед їх встановленням та регулярному оновленню систем захисту.
