Вредоносный пакет, обнаруженный в Python Package Index (PyPI), является последним примером того, что охотники за угрозами из Kroll назвали продолжающейся «демократизацией киберпреступности», когда злоумышленники создают варианты вредоносных программ из чужого кода.

Это отражает тенденцию в программах-вымогателях, DDoS и других вредоносных программах, которые позволяют мошенникам с небольшими навыками или вообще без них брать в аренду или покупать «инструменты» для проведения собственных атак. В данном случае это означает объединение кода из нескольких источников для создания вредоносных программ в пакетах, загруженных в PyPI.

Сбрасывание вредоносных пакетов в PyPI, GitHub, NPM, RubyGems и другие репозитории и соблазнение разработчиков непреднамеренно вставлять их в свои продукты — это быстрорастущая часть угроз для цепочки поставок программного обеспечения.

Исследователи Kroll, которые разработали инструмент для лучшего мониторинга PyPI на наличие вредоносных пакетов, обнаружили один из них под названием «colourfool», который они назвали «Colour-Blind».

Пакет поставляется с полнофункциональным похитителем информации и возможностями трояна удаленного доступа (RAT), написанными на Python. Был только один «подозрительно большой» файл Python, единственной целью которого было загрузить файл из Интернета, скрыть его от пользователей и выполнить.

«Поэтому функция сразу же показалась подозрительной и, вероятно, вредоносной», — написали исследователи Дэйв Трумэн и Джордж Гласс в отчете в четверг.

Был ряд других индикаторов подозрительной активности, в том числе использование жестко заданного URL-адреса для загрузки ресурсов из Интернета. Файл содержал скрипт Python — code.py — с функциями кражи информации, включая кейлоггинг и куки.

RAT обладал рядом возможностей, таких как сбор паролей, завершение работы приложений, создание скриншотов рабочего стола пользователя, поиск IP-данных и вывод их на экран, кража информации о криптовалютном кошельке и слежка за пользователем через веб-камеру.

Собираем код вместе

Трумэн и Гласс описали часть кода в файле как «откровенно вредоносную» и сказали, что одним из примеров была функция, предназначенная для обхода антивирусного программного обеспечения путем добавления его местоположения в путь исключения для антивирусной программы Microsoft Defender в Windows.

Другие части кода указывали на слабую попытку запутывания — по сути, переменные назывались по простому образцу, содержащему всего два символа. Все это убедило исследователей Kroll в том, что они, вероятно, имеют дело с вредоносными программами, состоящими из частей, полученных от других.

«Сочетание обфускации с явно вредоносным кодом указывает на то, что маловероятно, что весь код был разработан одним лицом», — написали они. «Возможно, окончательный разработчик в основном использовал чужой код, добавляя его с помощью копирования и вставки».

Другим признаком было то, что вредоносная программа включала функцию, позволяющую определить, работает ли она внутри виртуальной машины, и еще одну, позволяющую проверить, запущены ли в системе инструменты для исследования безопасности. Такое уклончивое поведение обычно наблюдается, когда злоумышленник хочет избежать запуска вредоносного ПО в автоматической песочнице безопасности, которая может пометить его как вредоносное.

«Однако в этом случае после того, как вредоносное ПО получит информацию, оно ничего с ней не сделает», — написали они. «Например, результат поиска инструмента исследования безопасности никогда не упоминается и не проверяется. Такое поведение усиливает гипотезу о том, что код был заимствован из нескольких источников, и окончательный разработчик может не быть особенно изощренным в своих методах».

Для Майка Паркина, старшего технического инженера Vulcan Cyber, Kroll обнаружил не столько «демократизацию» киберпреступности, сколько ее «коммерциализацию».

«Субъекты угроз уже какое-то время адаптируют свои бизнес-модели и уже достигли точки, когда они предлагают преступление как услугу в даркнете и имеют брокеров, которые могут смешивать и подбирать компоненты атаки для удовлетворения конкретных потребностей клиента», — сказал Паркин The Register.

Также будут продолжаться атаки на репозитории кода, которые упрощают злоумышленникам доступ к своим вредоносным пакетам перед разработчиками.

«Они пропускают несколько шагов в цепочке атаки, заставляя цель выполнять большую часть работы за них», — сказал он. «Это делает их особенно привлекательной целью, и мы можем ожидать, что злоумышленники будут придерживаться этого подхода до тех пор, пока репозитории не развернут защиту, чтобы остановить