Dva škodlivé balíky Python Package Index (PyPI) – Zebo-0.1.0 a Cometlogger-0.1 – predstavujú výrazné ohrozenie bezpečnosti používateľov - AKOB - Agentúra kybernetickej ochrany a bezpečnosti

Dva škodlivé balíky Python Package Index (PyPI) – Zebo-0.1.0 a Cometlogger-0.1 – predstavujú výrazné ohrozenie bezpečnosti používateľov

V novembri 2024 boli identifikované dva škodlivé balíky – Zebo-0.1.0 a Cometlogger-0.1 – ktoré zneužívajú nič netušiacich vývojárov a používateľov, pričom sa snažia ukradnúť citlivé údaje, ako sú prihlasovacie údaje, históriu prehľadávania a dokonca finančné informácie.

Tieto balíky zdôrazňujú dôležitosť obozretnosti pri používaní open-source softvérových repozitárov, ako je PyPI.

Podrobnosti o škodlivých balíkoch

Zebo-0.1.0 používa pokročilé obfuskačné techniky, aby sa vyhol detekcii. Napríklad používa hexadecimálne zakódované reťazce na skrytie URL pre komunikáciu a spoléhá na HTTP požiadavky na interakciu s databázou Firebase na exfiltráciu údajov.

Tieto opatrenia obchádzajú mnohé automatizované obrany, čím robia malvér nepozorovateľným, ale nebezpečným.

Ukladanie údajov: Stlačené klávesy sú uložené v súbore files/system-files.txt, ktorý je lokálnym logom, predtým, ako sú nahrané na vzdialený server.

Zebo zneužíva knižnicu pynput na logovanie každej stlačenej klávesy používateľa, ktorá sa ukladá lokálne do súboru predtým, ako sa nahrá na vzdialený server. Okrem toho vykonáva periodické snímky obrazovky pomocou knižnice ImageGrab.

Snímky obrazovky sú uložené v priečinku C:\\system-logs\\systemss a odosielajú sa na externý server pomocou API kľúča stiahnutého z vzdialeného zdroja.

Jednou z kritických funkcií Zebo je jeho schopnosť nahrávať citlivé údaje ako prihlasovacie údaje, aktivitu pri prehľadávaní a snímky obrazovky do vzdialených repozitárov. Malvér vymaže miestne logy po ich prenose, čím znižuje šance na detekciu, ako uvádza správa spoločnosti Fortinet.

Zebo zabezpečuje svoju trvalú vykonateľnosť vytvorením skriptu (system-log.pyw) a dávkového súboru (start.bat) v priečinku Štart systému Windows. Táto schopnosť zabezpečiť jeho spustenie pri každom reštartovaní systému predstavuje dlhodobé riziká pre používateľov.

Tento balík manipuluje súbormi dynamicky vložením URL webhookov. Tento prístup umožňuje vzdialené operácie príkazu a kontroly (C2), čo útočníkom umožňuje vykonávať príkazy alebo extrahovať údaje na diaľku.

Cometlogger-0.1 sa zameriava na cookies, uložené heslá, údaje o reláciách a prihlasovacie údaje z prehliadačov a kryptomenových peňaženiek. Dešifrovaním súborov prehliadača získava údaje o kartách a prihlasovacie údaje z platforiem ako Discord, Instagram a Twitter.

Malvér umožňuje vzdialeným útočníkom vydávať príkazy a prenášať citlivé informácie na vzdialený server.

Cometlogger používa taktiky proti VM, kontroluje indikátory ako “VMware” alebo “VirtualBox”. Ak sú detegované, malvér sa ukončí, aby sa vyhol detekcii v prostrediach virtuálnych strojov, ktoré bežne používajú výskumníci.

Cometlogger využíva UPX (Ultimate Packer for Executables) na kompresiu svojich komponentov, čím zakrýva škodlivý kód pred detekciou antivírusmi. Táto taktika často skrýva škodlivé správanie pred nástrojmi na analýzu.

Objavenie balíkov Zebo-0.1.0 a Cometlogger-0.1 podčiarkuje rastúce hrozby v open-source ekosystémoch. Tieto škodlivé balíky zdôrazňujú potrebu robustných bezpečnostných opatrení na ochranu osobných a organizačných údajov.

Nasledovaním osvedčených postupov a implementovaním proaktívnych stratégií môžu používatelia zmierniť riziká a prispieť k bezpečnejšiemu vývojovému prostrediu.