Поделиться
Продуманная атака на главный репозиторий Python: вредоносные утилиты выдаются за средства восстановления криптокошельков
Кто-то выгрузил на главный репозиторий Python множество утилит, чье вредоносное назначение было хорошо замаскировано. Впрочем, их быстро обнаружили и устранили.
На лицо прекрасные, ужасные внутри
В главном репозитории для разработчиков на языке Python – Python Package Index (PyPI) – выявлен набор вредоносных компонентов, предназначенных для кражи данных и криптоактивов из цифровых кошельков. Причем вредоносы выдавались как раз за средства восстановления доступа к этим кошелькам.
Вредоносные программы были нацелены на кошельки Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus и др. Все это ПО якобы представляло собой утилиты для извлечения мнемонических фраз (сид-фраз) и расшифровки данных кошелька.
В действительности эти «утилиты» крадут приватные ключи, мнемонические фразы и другие значимые данные, такие как история транзакций и состояние баланса. Сами по себе эти программы выглядят безвредно и невинно, однако они используют сторонние компоненты (зависимости – dependencies), которые как раз и обеспечивают их вредоносными возможностями.
Вредоносы и поименованы так, чтобы привлечь интерес разработчиков, занимающихся криптовалютными решениями: atomicdecoderss, trondecoderss, phantomdecoderss, trustdecoderss, exodusdecoderss, walletdecoderss, ccl-localstoragerss, exodushcates, cipherbcryptors и ccl_leveldbases. Более того, к ним прилагались инструкции по установке и рекомендации по оптимальному использованию, чтобы придать видимость легитимности.
Все эти вредоносы были скачаны от 240 до 466 раз, прежде чем их удалили из репозитория. К слову, злоумышленники снабдили свои разработки еще и средствами демонстрации мнимой статистики по скачиваниям, чтобы казалось, будто они популярны – и, соответственно, безопасны.
Отложенный ущерб
Впрочем, самой важной подробностью является тот факт, что вредоносная «начинка» срабатывает на сразу, а только при вызове определенных функций. Это довольно нетипичное поведение для подобных программ.
Мало того, разработчики обеспечили еще один «защитный слой», снабдив свои вредоносы функциями динамического разрешения адресов контрольного сервера, куда они выгружают украденные данные. Это позволяет вносить изменения на сервере, не рассылая никаких обновлений по клиентским вредоносам, и, в случае если сам сервер ликвидирован, его можно будет легко развернуть в другой инфраструктуре.
Как отмечают исследователи компании Checkmarx, обнаружившие эти вредоносные программы, их разработчики злоупотребляют взаимным доверием в среде открытого ПО, так что мнимые утилиты, выдаваемые за что-то полезное, могут угрожать потенциально очень большому количеству пользователей.
«Продуманность атаки – от обманчивого внешнего представления, динамических вредоносных функций и использования внешних вредоносных компонентов – указывает, насколько важно применять широкодиапазонные средства безопасности и постоянно отслеживать, с чем имеют дело разработчики», – указывают исследователи в своей публикации.
«Криптовалютные кошельки неизбежно привлекают внимание злоумышленников, и в данном случае явно наблюдается работа серьезно настроенных профессионалов, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Учитывая, как была организована атака через PyPI, можно сказать, что само ее обнаружение – счастливая случайность».
В публикации Checkmarx не указывается, каким именно образом атаку удалось обнаружить. Сказано лишь, что все вредоносы были выгружены 22 сентября свежезарегистрировавшимся пользователем PyPI. Зайцев предполагает, что именно это – появление сразу множества однообразно поименованных пакетов от одного и того же разработчика – и привлекло интерес специалистов по информационной безопасности.
Поделиться
Короткая ссылка
