Ссылка скрыта от гостей
новую кампанию по распространению вредоносного ПО, которая использовала ошибки написания и кражу учетных записей GitHub для размещения вредоносных пакетов Python в репозитории PyPI. В своем блоге сотрудники Checkmarx сообщили, что обнаружили эту кампанию после жалобы разработчика Python, который стал жертвой атаки. По их оценкам, более 170 000 человек могут быть под угрозой.Злоумышленники начали с создания поддельного зеркала Python с ошибками в названии - PyPIhosted, используя популярное зеркало Pythonhosted. Они внедрили вредоносный код в популярный пакет Colorama (свыше 150 миллионов загрузок в месяц) и загрузили его на свое поддельное зеркало. Это усложнило обнаружение вредоносного характера пакета, так как он казался законной зависимостью.
Другая тактика заключалась в краже учетных записей GitHub. Например, учетная запись "editor-syntax" была скомпрометирована, вероятно, путем кражи файлов cookie сеанса. Злоумышленники использовали эти файлы cookie для обхода методов аутентификации и получения доступа к учетной записи пользователя. Целью кампании было похищение конфиденциальных данных жертв, включая данные браузера, Discord, криптовалютные кошельки, сеансы чата Telegram и компьютерные файлы. Дополнительный анализ также выявил, что вредоносное ПО могло действовать как инфостилер и кейлоггер.