Это случайное изображение распространяет вредоносный пакет PyPl с помощью GitHub

Исследователи по кибербезопасности из Check Point Research (CPR) обнаружили новый вредоносный пакет в PyPI, репозитории кода для языка программирования Python, который использует изображение для доставки троянской программы вредоносное ПО, в основном использующее GitHub.

Субъекты угрозы, стоящие за этой новой кампанией, надеются, что при поиске в Интернете законных проектов Python разработчики рано или поздно столкнутся с "apicolor".

На первый взгляд безобидный пакет PyPI, находящийся в разработке, после установки сначала вручную устанавливает дополнительные требования, а затем загружает изображение из Интернета. Дополнительные требования обрабатывают изображение и запускают обработку сгенерированного вывода с помощью команды exec.

Стеганографическая атака

Одним из этих двух требований является код judyb, который на самом деле представляет собой модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это вернуло исследователей к картине, которая, как оказалось, загружает вредоносные пакеты из Интернета на конечная точка.

«Непосредственным местом для изучения таких пакетов является GitHub», — объясняют исследователи. «Исследователи искали проекты кода с использованием этих пакетов, что позволило команде лучше понять их методы заражения (если кто-то установил их по ошибке, и если да, то как это произошло). Используя этот поиск, стало очевидно, что apicolor и judib являются весьма нишевыми и редко используются в проектах GitHub». 

Как только CPR уведомил PyPI о своих выводах, последний удалил вредоносный пакет со своей платформы.