Команда исследователей из Fortinet недавно обнаружила PyPI-пакет под названием shaderz, позволяющий провести атаку нулевого дня. Пакет был обнаружен 6 декабря с помощью системы, которую специалисты Fortinet используют для мониторинга экосистем с открытым кодом.
Shaderz появился в официальном репозитории PyPI 2 декабря 2022 года. У него была только одна версия – 0.0.1, в также отсутствовали описание, электронная почта автора и его страница.
Пустое описание пакета.
Пустая история релизов.
В пакете находится вредоносный скрипт setup.py, который загружает и запускает исполняемый файл в процессе установки.
Скрипт setup.py
Но специалистов куда больше заинтересовал URL-адрес, находящийся в скрипте: https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe . Как видно на скриншоте ниже, URL включает в себя следующий exe-файл (SHA 256): 33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.
Ранее этот URL-адрес не использовался злоумышленниками, а вот exe-файл отмечен как вредоносный.
Этот файл является python-скриптом, скомпилированным в исполняемый файл.
Команда Fortinet пообещала продолжать отслеживать вредоносную активность в экосистемах по типу PyPI и помогать компаниям бороться с подобными угрозами. С индикаторами компрометации можно ознакомиться здесь .
Источник: SecurityLab