У Python-репозиторії PyPI знайшли шкідливі пакети, які використовували API соцмереж для перевірки, чи прив’язана до них певна email-адреса. Таку інформацію зловмисники можуть використати для атак.
У Python-репозиторії PyPI знайшли шкідливі пакети, які використовували API соцмереж для перевірки, чи прив’язана до них певна email-адреса. Таку інформацію зловмисники можуть використати для атак.
Про це повідомив The Hacker News із посиланням на дослідницю компанії Socket. Олівія Браун повідомила, що зловмисники завантажили у PyPI троянські бібліотеки під назвами checker-SaGaF, steinlurks і sinnercore. Їх уже видалили з платформи, але вони встигли зібрати понад 6900 завантажень. Джерело: Socket, The Hacker News
Основне завдання цих пакетів — перевіряти, чи прив’язана певна email-адреса до акаунтів у TikTok або Instagram. Наприклад, checker-SaGaF надсилав запити до функцій відновлення пароля в TikTok і входу в Instagram. Якщо відповідь API підтверджувала, що акаунт існує — адреса вважалася дійсною.
Такі «чекери» допомагають хакерам формувати списки реальних акаунтів для подальших атак: від спаму до зламів через підбір паролів. Валідація email-адрес — важлива ланка в підготовці фішингових кампаній, credential stuffing або продажу баз на даркнеті.
Інший пакет, steinlurks, імітував запити від Android-додатку Instagram, щоб оминути виявлення. Він звертався до різних внутрішніх API, зокрема i.instagram.com/api/v1/users/lookup/.
Sinnercore ішов ще далі — він не лише перевіряв акаунти, а й збирав дані з Telegram (ім’я, ID, статус), працював із курсами криптовалют на Binance та навіть шукав інформацію про пакети у самому PyPI. Це могло використовуватись для створення фейкових профілів нібито «реальних» розробників.
Це вже не перший випадок зловживання PyPI для поширення шкідливого ПЗ. Лише нещодавно аналітики з ReversingLabs виявили інший пакет — dbgpkg, що встановлював бекдор на комп’ютері розробника.
Нагадаємо, нещодавно у нашій стрічці виходив матеріал про те, як хакери щонайменше вісім місяців поширювали шкідливу версію KeePass, що встановлює Cobalt Strike, викрадає паролі та додає програми, які шкодять пристрою.
