Исследователи компании Fortinet выявили два вредоносных пакета, размещённых в репозитории Python Package Index (PyPI), которые предназначались для кражи конфиденциальной информации с заражённых устройств. Пакеты под названиями zebo и cometlogger успели привлечь 118 и 164 загрузки соответственно до их удаления. Согласно статистике ClickPy, большинство загрузок пришлось на США, Китай, Россию и Индию.
Zebo представляет собой типичный пример вредоносного ПО с функциями для слежки, эксфильтрации данных и несанкционированного управления. Как отмечает исследователь Дженна Ван, cometlogger также обладает вредоносными характеристиками, включая динамическое изменение файлов, внедрение веб-хуков, кражу данных и механизмы защиты от виртуальных машин.
Пакет zebo использует методы обфускации, такие как шифрование строк в шестнадцатеричном формате, чтобы скрыть URL-адрес своего С2-сервера. Среди его возможностей – захват нажатий клавиш с помощью библиотеки pynput и создание скриншотов с интервалом в час через библиотеку ImageGrab.
Полученные изображения сохраняются локально, а затем загружаются на бесплатный хостинг изображений ImgBB с использованием API-ключа, полученного от C2-сервера. Для обеспечения постоянной работы вредоносного кода zebo создаёт скрипт, добавляющий его в автозагрузку Windows.
Cometlogger является более сложным инструментом. Он способен похищать куки-файлы, пароли, токены и данные аккаунтов из популярных приложений, таких как Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox. Кроме того, он собирает метаданные системы, информацию о сети и Wi-Fi, список запущенных процессов и содержимое буфера обмена.
Для сокрытия своей активности cometlogger проверяет наличие виртуальных сред и завершает процессы, связанные с браузерами, чтобы обеспечить полный доступ к файлам. Благодаря асинхронному выполнению задач этот пакет способен быстро извлекать большие объёмы данных.
Специалисты предупреждают: даже если отдельные функции таких скриптов могут казаться полезными, их непрозрачность и подозрительное поведение делают использование небезопасным. Рекомендуется тщательно проверять код перед запуском и избегать взаимодействия с программами из непроверенных источников.