Компанія ESET виявила шкідливі проєкти Python, які поширюються через офіційне сховище пакетів PyPI. Загроза, націлена на системи Windows та Linux, зазвичай поширює спеціальний бекдор із можливостями кібершпигунства. Він дозволяє віддалено виконувати команди та викрадати файли, а іноді включає можливість робити знімки екрана.

Спеціалісти ESET виявили 116 файлів, які містять шкідливе програмне забезпечення, у 53 проектах. За рік користувачі завантажили ці файли більше 10 тисяч разів, а кількість встановлень на день досягала близько 80 з травня 2023 року.

PyPI популярний серед програмістів Python для обміну та завантаження коду. Оскільки будь-хто може зробити зміни у сховищі, з’являється шкідливе програмне забезпечення, яке маскується під популярні легітимні бібліотеки коду.

На сьогодні більшість пакетів уже було видалено PyPI. Однак після цього спеціалісти ESET зв’язалися з PyPI, щоб вжити заходів щодо пакетів, які залишилися. Наразі всі відомі шкідливі пакети перебувають у режимі офлайн.

Компанія ESET проаналізувала три методи додавання шкідливого коду в пакети Python, які використовують зловмисники. Перший прийом — розміщення нібито тестового модулю зі злегка заплутаним кодом всередині пакета. Друга техніка — вбудовування коду PowerShell у файл setup.py, який зазвичай запускається автоматично, щоб допомогти встановити проєкти Python. У третьому методі зловмисники не докладають зусиль для включення легітимного коду в пакет, використовуючи лише шкідливий код у злегка заплутаній формі.

Як правило, кінцевим компонентом є спеціальний бекдор, здатний віддалено виконувати команди, викрадати файли та іноді робити знімки екрана. У Windows бекдор реалізовано на Python, а у Linux — мовою програмування Go. У деяких випадках замість бекдора використовується загроза W4SP Stealer або простий інструмент для буфера обміну для крадіжки криптовалюти Bitcoin, Ethereum, Monero та Litecoin чи обидва варіанти.