Киберпреступники начали использовать Stack Overflow для распространения вредоносного ПО. Они отвечают на вопросы пользователей, продвигая вредоносный пакет PyPi, который устанавливает в Windows инфостилер.Исследователь Sonatype Акс Шарма обнаружил, что этот новый пакет PyPi является частью ранее известной кампании Cool package, названной в честь строки в метаданных пакета.Этот пакет PyPi называется «pytoileur».
В прошедшие выходные он был загружен злоумышленниками в репозиторий PyPi как «инструмент управления API». Хакеры создали в StackOverflow учётную запись «EstAYA G», с которой рекомендуют установить этот вредоносный пакет в качестве «решения» проблемы, даже если он не отвечает запросам разработчиков.Пакет pytoileur содержит файлы «setup.py», которые дополняют команду в кодировке Base64 пробелами, поэтому она не видна, если не включить перенос слов в IDE или редакторе текстовых файлов.
При деобфускации эта команда загрузит исполняемый файл с именем «runtime.exe» [VirusTotal] с сайта и выполнит его. Этот исполняемый файл представляет собой программу Python, преобразованную в .exe, которая действует как вредоносное ПО, крадущее информацию и собирающее файлы cookie, пароли, историю браузера, данные кредитных карт и другие.Вся эта информация затем отправляется обратно злоумышленнику, который может продавать её в даркнете или использовать для взлома других учётных записей жертвы.Разработчикам порекомендовали проверять источник всех пакетов, которые они добавляют в свои проекты, и их код с включённым переносом слов на наличие необычных или запутанных команд.Ранее хакеры атаковали сообщество ботов Top.gg в Discord, насчитывающее более 170 тысяч участников.
Читать на habr.com