Badania ujawniają złośliwe pakiety w Python Package Index
Specjaliści ds. cyberbezpieczeństwa zidentyfikowali dwa złośliwe pakiety opublikowane w repozytorium Python Package Index (PyPI), których celem było wykradanie wrażliwych danych z zainfekowanych komputerów. Odkrycie to zostało przedstawione przez badaczy z laboratorium Fortinet FortiGuard Labs.
Wykryte pakiety, o nazwach blank”>zebo oraz blank”>cometlogger, ściągnięto odpowiednio 118 i 164 razy przed ich usunięciem z repozytorium. Ze statystyk ClickPy wynika, że większość pobrań pochodziła z takich krajów, jak Stany Zjednoczone, Chiny, Rosja i Indie. Wzbudza to poważne obawy dotyczące globalnego zasięgu zagrożenia.
Zebo – przykład klasycznego złośliwego oprogramowania
Zebo stanowi typowy przykład złośliwego oprogramowania, które wykorzystuje zaawansowane funkcje do monitorowania, kradzieży danych oraz zdalnej i nieautoryzowanej kontroli nad systemem. Jak zauważa badaczka Jenna Wang, zebo stosuje techniki obfuskacji, takie jak heksadecymalne kodowanie ciągów znaków, aby ukryć adres serwera dowodzenia (C2 – command-and-control), z którym komunikuje się za pomocą zapytań HTTP.
Pakiet oferuje szeroki wachlarz funkcji, m.in. możliwość przechwytywania klawiszy dzięki bibliotece pynput oraz robienia zrzutów ekranu w regularnych odstępach czasu (co godzinę). Zrzuty te są następnie zapisywane lokalnie, a później przesyłane na serwery ImgBB – darmowej platformy do hostowania obrazów. Realizacja tych działań odbywa się za pomocą klucza API pozyskanego z serwera C2.
Dodatkowo, zebo implementuje techniki utrzymywania się na zainfekowanym urządzeniu, tworząc skrypt wsadowy uruchamiający kod w Pythonie podczas każdego rozruchu systemu. Skrypt zostaje dodany do folderu Automatycznego Uruchamiania systemu Windows, co gwarantuje nieprzerwane działanie malware przy każdym restarcie komputera.
Cometlogger – wszechstronny złodziej danych
Pakiet cometlogger, choć różni się od zebo, wyróżnia się podobnie złośliwym charakterem i jeszcze bardziej rozbudowanymi funkcjami. Malware ten kradnie szeroki zakres informacji, w tym ciasteczka, hasła, tokeny dostępu oraz dane kont użytkowników w popularnych aplikacjach, takich jak Discord, Steam, Instagram, TikTok, Reddit, Twitch, Spotify czy Roblox.
Co więcej, cometlogger zbiera szczegóły dotyczące metadanych systemowych, informacji o sieci Wi-Fi, listy działających procesów oraz zawartości schowka. Posiada również mechanizmy zapobiegające uruchamianiu w zwirtualizowanym środowisku – kluczowe przy analizie złośliwego oprogramowania – oraz kończy działanie procesów powiązanych z przeglądarkami internetowymi, co zapewnia mu nieograniczony dostęp do przechowywanych plików.
Jak podkreśla Jenna Wang, malware wykonuje zadania asynchronicznie, maksymalizując efektywność w krótkim czasie. Tym samym pozwala na szybkie wykradanie dużej ilości danych, co czyni go wyjątkowo niebezpiecznym.
Brak transparentności – kluczowy sygnał ostrzegawczy
Chociaż niektóre funkcje mogłyby znaleźć zastosowanie w legalnych narzędziach, brak transparentności w pracy z zebo i cometloggerem oraz ich wyraźnie szkodliwy charakter czynią te pakiety niebezpiecznymi. „Zawsze należy dokładnie przeanalizować kod przed jego uruchomieniem i unikać interakcji ze skryptami pochodzącymi z niezweryfikowanych źródeł” – dodaje Jenna Wang.
Wyniki tych badań przypominają o konieczności wzmożonej ostrożności w korzystaniu z otwartych repozytoriów programistycznych, takich jak PyPI. Świadomość możliwych zagrożeń i środki prewencyjne powinny stać się priorytetem dla programistów oraz administratorów systemowych na całym świecie.