Хакеры начали выдавать себя за «полезных» пользователей Stack Overflow для распространения вредоносов

Киберпреступники начали использовать Stack Overflow для распространения вредоносного ПО. Они отвечают на вопросы пользователей, продвигая вредоносный пакет PyPi, который устанавливает в Windows инфостилер.Исследователь Sonatype Акс Шарма обнаружил, что этот новый пакет PyPi является частью ранее известной кампании Cool package, названной в честь строки в метаданных пакета.Этот пакет PyPi называется «pytoileur».

В прошедшие выходные он был загружен злоумышленниками в репозиторий PyPi как «инструмент управления API». Хакеры создали в StackOverflow учётную запись «EstAYA G», с которой рекомендуют установить этот вредоносный пакет в качестве «решения» проблемы, даже если он не отвечает запросам разработчиков.Пакет pytoileur содержит файлы «setup.py», которые дополняют команду в кодировке Base64 пробелами, поэтому она не видна, если не включить перенос слов в IDE или редакторе текстовых файлов.

При деобфускации эта команда загрузит исполняемый файл с именем «runtime.exe» [VirusTotal] с сайта и выполнит его. Этот исполняемый файл представляет собой программу Python, преобразованную в .exe, которая действует как вредоносное ПО, крадущее информацию и собирающее файлы cookie, пароли, историю браузера, данные кредитных карт и другие.Вся эта информация затем отправляется обратно злоумышленнику, который может продавать её в даркнете или использовать для взлома других учётных записей жертвы.Разработчикам порекомендовали проверять источник всех пакетов, которые они добавляют в свои проекты, и их код с включённым переносом слов на наличие необычных или запутанных команд.Ранее хакеры атаковали сообщество ботов Top.gg в Discord, насчитывающее более 170 тысяч участников.