В репозитории Python Package Index (PyPI) обнаружен вредоносный пакет, предназначенный для распространения программы похищения информации Lumma (также известной как LummaC2). Это пакет с названием ” crytic-compilers “, являющийся подделкой легитимной библиотеки ” crytic-compile “. Подложный пакет был загружен 441 раз, прежде чем его удалили.
Исследователи безопасности из компании Sonatype обратили внимание на то, что поддельная библиотека использует тот же номер версии, что и оригинальная, за исключением добавления нескольких последних цифр.
Так, в то время как последняя версия оригинальной библиотеки заканчивается на 0.3.7, поддельная версия crytic-compilers достигает 0.3.11. Таким образом, видимо, хакеры хотели побудить разработчиков устанавливать “более свежий” пакет. Разумеется, если они не поймут, что пакет поддельный.
Примечательно, что некоторые версии “crytic-compilers”, включая 0.3.9, действительно устанавливали легитимный пакет путём модификации скрипта “setup.py”. Однако в версии 0.3.11, определяя операционную систему как Windows, пакет запускает исполняемый файл (“s.exe”), который в свою очередь загружает дополнительные компоненты, включая инфостилер Lumma.
Lumma Stealer доступен множеству киберпреступников по модели MaaS и распространяется различными методами, включая пиратский софт, мошенническую рекламу и фальшивые обновления браузера.
Данное открытие показывает, что опытные злоумышленники всё чаще нацеливаются на разработчиков Python и злоупотребляют реестрами открытых исходных кодов, такими как PyPI, в качестве канала распространения своего мощного арсенала для кражи данных.
Разработчикам рекомендуется внимательно проверять названия и версии библиотек, которые они устанавливают, особенно, когда речь заходит об открытых репозиториях, таких как PyPI. Даже небольшие отклонения в названиях или номерах версий могут указывать на то, что пакет вредоносный.