Checkmarx обнаружила вредоносную кампанию, направленную на разработчиков Python. В ходе атак злоумышленники использовали кражу учетных записей через файлы cookie, создание пользовательского зеркала Python, размещение вредоносных пакетов в реестре PyP и внедрение вредоносных коммитов с помощью захваченных учетных записей GitHub.
Специалисты из Checkmarx обнаружили новую волну распространения вредоносного программного обеспечения, целью которой стали разработчики Python.
Вначале злоумышленники скопировали известное зеркало Python, создав сайт PyPIhosted для размещения пакетов в реестре PyPI. Затем они захватили популярный инструмент Colorama (более 150 млн загрузок в месяц), внедрили в него вредоносный код и загрузили на свой домен.
После этого хакерам удалось захватить популярные учетные записи GitHub. Одна из жертв — редактор синтаксиса, который также является сопровождающим Top.gg и имеет права на запись в репозитории git Top.gg. Получив контроль над аккаунтом, они внесли коммит в репозиторий top-gg/python-sdk, используя украденный идентификатор редактора синтаксиса на GitHub. В инструкции по загрузке была добавлена ссылка на зараженную версию Colorama.
Целью кампании стала кража конфиденциальных данных. Согласно Checkmarx, вредоносное ПО крадет данные браузера (файлы cookie, информацию об автозаполнении, историю посещенных страниц, закладки, данные кредитных карт и учетные записи для входа в систему), данные Discord (включая токены, которые можно использовать для доступа), данные криптовалютного кошелька, сеансы чатов Telegram, файлы на компьютере и данные из социальных сетей. Последующий анализ показал, что инфостилер также мог работать в качестве кейлоггера.
Для максимального скрытия своих действий злоумышленники загружали требования с вредоносной ссылкой среди других законных файлов.