14 000 загрузок: PyPI заполонили фальшивые пакеты для похищения данных

Исследователи в области кибербезопасности предупредили о вредоносной кампании, направленной на пользователей репозитория Python Package Index (PyPI). Злоумышленники распространяли поддельные библиотеки, маскируя их под утилиты, связанные со «временем» (time), но со скрытой функцией кражи чувствительных данных, включая облачные токены доступа.

Специалисты компании ReversingLabs выявили две группы вредоносных пакетов, всего 20 наименований. Они были загружены более 14 100 раз, что свидетельствует о значительном масштабе атаки. В первую группу входят пакеты, предназначенные для отправки украденных данных на серверы злоумышленников, а во вторую — библиотеки, имитирующие клиентские SDK для облачных платформ, таких как Alibaba Cloud, Amazon Web Services и Tencent Cloud.

Некоторые из наиболее популярных загруженных пакетов включают snapshot-photo (2448 загрузок), acloud-client (5496 загрузок) и enumer-iam (1254 загрузки). Все вредоносные библиотеки уже удалены из PyPI, но их активное использование на протяжении длительного времени указывает на потенциально масштабный ущерб.

Дополнительное расследование показало, что три пакета — acloud-client, enumer-iam и tcloud-python-test — были указаны в зависимостях GitHub-проекта accesskey_tools, который имеет 519 звёзд и был форкнут 42 раза. Это указывает на возможность их интеграции в популярные разработки, что могло увеличить количество скомпрометированных систем.

«Подозрительные URL-адреса являются ключевым признаком потенциально вредоносных пакетов, поскольку они часто используются для загрузки дополнительных вредоносных программ или установления связи с серверами управления и контроля, что даёт злоумышленникам контроль над заражёнными системами», — сказала Дженна Ванг, специалист компании Fortinet.

Инцидент вновь поднимает вопрос о безопасности цепочки поставок программного обеспечения и необходимости тщательной проверки сторонних зависимостей перед их интеграцией в проекты.