Специалисты Checmarx обнаружилиPyPI-пакеты, содержащие вредоносный скрипт в файле “init.py”, который передает данные пользователей боту в Telegram.
Вредоносные пакеты, загруженные пользователем “dsfsdfds”, оказались частью крупной киберпреступной операции. Основная цель кампании – кража конфиденциальных данных пользователей и их передача Telegram-боту, связанному с киберпреступниками из Ирака. Операция активна с 2022 года. Telegram-канал с ботом содержит более 90 000 сообщений на арабском языке.
Список вредоносных пакетов на PyPI включает:
- testbrojct2
- proxyfullscraper
- proxyalhttp
- proxyfullscrapers
Вредоносный скрипт в пакетах сканирует файловую систему жертвы, особенно корневую папку и папку DCIM. Скрипт ищет файлы с расширениями “.py”, “.php”, “.zip”, а также изображения с расширениями “.png”, “.jpg” и “.jpeg”. Обнаруженные файлы и их пути в файловой системе эксфильтруются в Telegram без ведома пользователя.
Жестко закодированная конфиденциальная информация, такая как токен бота и идентификатор чата, позволила исследователям получить данные об инфраструктуре и операциях киберпреступников. Исследователи получили доступ к Telegram-боту и мониторили его деятельность.
История активности бота уходит в 2022 год, задолго до выпуска вредоносных пакетов на PyPI. Сообщения в основном были на арабском языке. В ходе анализа выяснилось, что оператор бота поддерживал множество других ботов и, вероятно, базировался в Ираке.
Изначально бот функционировал как подпольный рынок, предлагая услуги по накрутке просмотров и подписчиков в Telegram и Instagram*, спам-услуги и скидки на подписки Netflix. Однако дальнейшее изучение истории сообщений выявило более опасные активности, связанные с финансовым мошенничеством и компрометацией систем жертв.
Обнаружение вредоносных пакетов и последующее расследование Telegram-бота пролили свет на сложную киберпреступную операцию. Первоначально единичный случай вредоносных пакетов оказался вершиной айсберга, открыв криминальную экосистему. Исследовательская команда Checkmarx продолжает расследование атаки, чтобы получить дополнительные данные о методах злоумышленников.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.