Identifikovana su dva maliciozna paketa Python Package Index (PyPI): Zebo-0.1.0 i Cometlogger-0.1, koji predstavljaju značajnu prijetnju sigurnosti korisnika.
Ovi paketi, postavljeni u novembru 2024., iskorištavaju nesuđene programere i korisnike, s ciljem krađe osjetljivih podataka kao što su vjerodajnice za prijavu, historija pregledavanja, pa čak i finansijske informacije.
Paketi naglašavaju važnost opreza pri korištenju softverskih spremišta otvorenog koda.
Detalji malicioznih paketa
Zebo-0.1.0 koristi napredne prakse prikrivanja kako bi se izbjeglo otkrivanje. Na primjer, koristi heksadecimalne kodirane stringove za skrivanje komunikacijskih URL-ova i oslanja se na HTTP zahtjeve za interakciju s Firebase bazom podataka radi eksfiltracije podataka.
Ove mjere zaobilaze mnoge automatizovane odbrane, čineći maliciozni softver skrivenim, ali opasnim.
Zebo zloupotrebljava biblioteku pynput kako bi evidentirao svaki korisnički pritisak na tipku, pohranjujući ih lokalno u datoteku prije nego što ih otpremi na udaljeni server. Pored toga, vrši periodična snimanja ekrana preko ImageGrab biblioteke.
Snimci ekrana, pohranjeni na C:\\system-logs\\systemss, šalju se na eksterni server pomoću API ključa koji se preuzima sa udaljenog izvora.
Jedna kritična karakteristika Zebo-a je njegova sposobnost učitavanja osjetljivih podataka poput kredencijala, aktivnosti pretraživanja i snimaka ekrana u udaljena spremišta. Maliciozni softver briše lokalne zapise nakon prijenosa, smanjujući šanse za otkrivanje, prema izvještaju Fortineta.
Zebo osigurava njegovo kontinuirano izvršavanje kreiranjem skripte (system-log.pyw) i batch datoteke (start.bat) u Windows Startup folderu. Ova mogućnost postojanosti garantuje da se pokreće svaki put kada se sistem ponovo pokrene, što predstavlja dugoročne rizike za korisnike.
Ovaj paket dinamički manipuliše datotekama ugrađivanjem webhook URL-ova. Ovaj pristup olakšava operacije daljinske komande i kontrole (C2), omogućavajući napadačima da izvrše komande ili ekstrahuju podatke na daljinu.
Cometlogger-0.1 cilja na kolačiće, sačuvane lozinke, podatke o sesiji i kredencijale iz pretraživača i novčanika za kriptovalute . Dešifrovanjem fajlova pretraživača preuzima detalje kartice i korisničke akreditive sa platformi kao što su Discord, Instagram i Twitter.
Maliciozni softver koristi anti-VM taktiku, provjeravajući indikatore kao što su “VMware” ili “VirtualBox”. Ako se otkrije, maliciozni softver se prekida, izbjegavajući otkrivanje u zaštićenim okruženjima koje obično koriste istraživači.
Cometlogger koristi UPX (Ultimate Packer for Executables) za pritiskanje svojih komponenti, skrivajući maliciozni kod od antivirusnog otkrivanja. Ova taktika često štiti štetna ponašanja od alata za analizu.
Otkriće Zebo-0.1.0 i Cometlogger-0.1 naglašava rastuće prijetnje u ekosistemima otvorenog koda. Ovi maliciozni paketi naglašavaju potrebu za snažnim sigurnosnim mjerama za zaštitu ličnih i organizacijskih podataka.
Praćenjem najboljih praksi i implementacijom proaktivnih strategija, korisnici mogu ublažiti rizike i doprinijeti sigurnijem razvojnom okruženju.
Izvor: CyberSecurityNews
