The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka

22.05.2022 08:49

В каталоге PyPI (Python Package Index) выявлена библиотека pymafka, содержащая вредоносный код. Библиотека распространялась с именем, похожим на популярный пакет pykafka с расчётом на то, что невнимательные пользователи перепутают подставной пакет с основным проектом (тайпсквоттинг). Вредоносный пакет был размещён 17 мая и до блокировки был загружен 325 раз.

Внутри пакета содержался скрипт "setup.py", который определял тип платформы и загружал специфичные для Windows, macOS и Linux троянские компоненты. Для Windows и macOS в каталоги "C:\Users\Public\iexplorer.exe" и "/var/tmp/zad" загружался компонент для атаки на систему пользователя, основанный на инструментарии Cobalt Strike, который после запуска периодически отправлял запросы на внешний сервер. В Linux загружался и запускался исполняемый файл "env", содержимое которого не удалось проанализировать, так как на момент проведения анализа хост, с которого предпринималась попытка загрузки, уже был заблокирован.



  1. Главная ссылка к новости (https://blog.sonatype.com/new-...)
  2. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  3. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  4. OpenNews: Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений
  5. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  6. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57232-pypi
Ключевые слова: pypi, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 08:59, 22/05/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +26 +/
     
     
  • 2.6, Аноним (6), 09:17, 22/05/2022 Скрыто модератором
  • –10 +/
     
     
  • 3.7, Аноним (7), 09:20, 22/05/2022 Скрыто модератором
  • +4 +/
     
     
  • 4.8, Аноним (6), 09:25, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 5.11, Самый Лучший Гусь (?), 10:40, 22/05/2022 Скрыто модератором
  • +1 +/
     
  • 5.18, onanim (?), 14:21, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 6.25, Dzen Python (ok), 18:43, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 7.26, onanim (?), 18:50, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 8.27, Dzen Python (ok), 18:58, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 9.30, Аноним (30), 21:44, 22/05/2022 Скрыто модератором
  • +/
     
     
  • 10.32, Dzen Python (ok), 22:07, 22/05/2022 Скрыто модератором
  • +/
     
  • 4.10, Имя (?), 09:48, 22/05/2022 Скрыто модератором
  • –4 +/
     
  • 3.15, th3m3 (ok), 13:05, 22/05/2022 Скрыто модератором
  • +3 +/
     
  • 2.23, Dzen Python (ok), 18:37, 22/05/2022 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (13)

  • 1.3, X86 (ok), 09:11, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну и названия. Выглядит как детский прикол
     
     
  • 2.12, Аноним (12), 11:18, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какое из?
     
     
  • 3.39, Аноним (39), 11:12, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все.
     
  • 3.40, Аноним (40), 11:14, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    /var/tmp/zad
     
  • 2.50, Аноним (-), 19:28, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какой яп такие и трояны. Там весь яп выглядит как прикол япошки. А хомяки вот хавают. Уже япошка задолбался, отвалив в кусты - с трона BDFL заметьть, не хухры мухры. А некоторых все не попустит.
     

  • 1.4, Аноним (7), 09:12, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пользуются любым раздутым инструментом. Т.е. сборную солянку используют для аналогичных атак.
     
  • 1.5, Аноним (6), 09:16, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > В каталоге PyPI (Python Package Index) выявлена библиотека pymakaka, содержащая вредоносный код.
     
     
  • 2.9, Онаним (?), 09:25, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Этих библиотек к пупе каждый день подключается очень много. Н
     
     
  • 3.17, Аноним (17), 13:33, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И ты их сейчас, конечно, покажешь.
     
     
  • 4.36, Онаним (?), 09:41, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пи-макак-то? Зайди на любой форум по питону, их там в достатке.
     
  • 4.51, Аноним (-), 19:29, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно тебе хватит зеркала :)
     
     
  • 5.53, Аноним (17), 19:48, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Возможно тебе хватит зеркала :)

    Когда нет аргументов… Детский сад.

     

  • 1.19, Аноним (-), 14:51, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ничего себе, целых 325 раз! Вот это хакерская атака!
     
     
  • 2.52, Аноним (-), 19:30, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то за хакерство считают даже 1 взлом системы, а тут их целые 325...
     

  • 1.20, Аноним (20), 14:53, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Таких зловредов в любом репозитории каждый день тысячи новых загружают, физически проверить их всех нереально. Поэтому умные люди всё пишут с нуля не доверяя васяноподелиям, ну или в крайнем случае пользуются более-менее известными пакетами.
     
     
  • 2.21, Аноним (21), 16:27, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    и очепятываются...
     
  • 2.22, Аноним (30), 16:53, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > каждый день тысячи новых загружают

    Да какие тысячи, миллионы! Миллиарды!!

    > умные люди всё пишут с нуля

    Включая операционные системы и комменты на опеннете. А гении так и вовсе свой алфавит придумывают. Слышал про атаки через зловредные буквы?

     
     
  • 3.24, Dzen Python (ok), 18:40, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А ты бы так не зубоскалил, используя UTF-{8, 16, ...}, где атаки, использующие в качестве принципиальной основы наличие в юникодной таблице вектор-массивов неотличимых графически, но разных по коду и по управляющему воздействию символов, уже существуют...

    https://habr.com/ru/news/t/587072/

     
     
  • 4.31, Аноним (30), 21:46, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты бы так не зубоскалил

    А то что?

     
     
  • 5.33, Dzen Python (ok), 22:10, 22/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А то как бы ты не прозубоскалил реальный анальный плаг от наших братьев наших меньших СуньХуэйВЧай и его *крю* ВыньСуХим и ДайПоДеРжать с ДруГим
     
  • 2.45, Аноним (45), 15:17, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, несколько десятков пакетов, которые тянут еще сотню зависмостей, с нуля написать... А потом еще и версифицирование поддерживать, чтобы при внедрении изменений в пакеты все проекты не "поплыли". Придется увеличивать отдел разработки нехило.
    Умные люди просто проверяют пакет(тесты), фиксируют версию по хэшу коммита, и спокойно работают. Тогда и неожиданного обновления не прилетит.
     

  • 1.28, Брат Анон (ok), 19:31, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    mafka -- звучит как "вавка" только с каким-то венерическим уклоном. Я бы шарахнулся прочь от пакета с таким названием.
     
     
  • 2.44, Аноним (44), 15:11, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В украинской мифологии это что-то типа русалки: https://ru.m.wikipedia.org/wiki/Мавка

    Мавки - злые, страстные девочки, обитающие в лесах и на болотах.

    Национальность автора зловреда можно угадать, даже место обитания - перикарпатье или Карпаты.

     
     
  • 3.48, Аноним (48), 19:51, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тайпсквоттинг
    > kafka

    С той же вероятностью там мог быть lafka, jafka, pafka, iafka...

    Хм, pyiafka - звучит

     

  • 1.29, Sergey (??), 20:38, 22/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А геоip сервака куда загружали ? В чем проблема написать это в новости ?
     
     
  • 2.34, Аноним (34), 02:00, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В чем прок от geoip тут? Сервак мог через цепочку подконтрольных нод вообще в торе быть
     
     
  • 3.41, Sergey (??), 11:59, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть огласят первый ip гейт тора куда оно залазит.
     
     
  • 4.43, пох. (?), 14:55, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Э... тебе точно нужен весь список? А то я до февраля держал такой. (именно торовых гейтов откуда ко мне приходили п-сы, а не всех гейтов подряд - со многих никто не приходит или приходят но не пакостить)

    Ну как бы тебе намекнуть... в общем, он довольно большой.

     
     
  • 5.46, test (??), 15:26, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть покажут ту часть кода что туды лезет, или он выдают надпись : Вы поставь себе на комп в начале ТОР ...
     

  • 1.35, Аноним (35), 08:45, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То чувство, когда в малвари настолько аццкий говнокод, что даже хочется автора пожалеть и помочь пулреквестом.
     
     
  • 2.38, Juha (ok), 10:21, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. едить, всё в один ексепшен, егей, е***сь оно конём и всё сразу =)
     

  • 1.37, Juha (ok), 10:20, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А объясните мне умные синьоры, почему в если линуха то в се в одну строку, а если МакОСь и Винда, то значит мы в переменную создали для хранения урла и и прочее??
    Что за дискриминация такая, чо за нафиг??
     
     
  • 2.49, пох. (?), 19:57, 23/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В примерах на стековерфлоу, откуда макака черпает вдохновение, было вот так.
    А что эти строчки все значат - ему некогда выяснять, проект стоит пока ты читаешь ненужную документацию. Вот же - ctrl-c/ctrl-v!

     

  • 1.42, a_kusb (ok), 12:30, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мафка-кафка-питонья-какафка
     
  • 1.47, pavlinux (ok), 18:07, 23/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > был загружен 325 раз.

    Посаны, это апокалипсис!  

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру