В PyPI нашли зловреды, ворующие ключи от аккаунтов в соцсетях

В официальном репозитории PyPI, предназначенном для Python-пакетов, обнаружены два вредоносных пакета — zebo и cometlogger.

Они были нацелены на кражу данных пользователей и уже успели набрать 118 и 164 скачивания соответственно до их удаления.

Большинство загрузок пришлось на США, Китай, Россию и Индию.

Zebo: слежка и перехват данных

Пакет zebo, как отмечают эксперты FortiGuard Labs, обладает широкими возможностями для кражи информации. Среди его функций:

• Перехват нажатий клавиш с использованием библиотеки pynput.
• Создание скриншотов раз в час и отправка их на ImgBB через API.
• Постоянное присутствие: скрипт на Python автоматически добавляется в автозагрузку Windows.
• Скрытность: код обфусцирован, строки зашифрованы, а связь с командным сервером осуществляется через HTTP.

Cometlogger: кража аккаунтов и данных

Cometlogger оказался ещё более опасным, предоставляя злоумышленникам доступ к:

• Аккаунтам в соцсетях и сервисах: Discord, Steam, TikTok, Reddit, Twitch и др.
• Файлам cookie, паролям и токенам доступа.
• Системным данным: метаданные, список процессов, сетевую информацию, данные Wi-Fi и содержимое буфера обмена.
• Защита от анализа: обнаруживает виртуальные машины и избегает запуска в них.

Реакция и рекомендации экспертов

Оба пакета были оперативно удалены из PyPI, однако их наличие вновь привлекло внимание к проблемам безопасности репозитория.

Никита Павлов, эксперт компании SEQ, отметил:

«Подобные инциденты повторяются регулярно. PyPI необходимо ввести более строгие меры контроля, чтобы предотвратить загрузку вредоносного кода».

Рекомендации для пользователей:

• Проверяйте пакеты перед использованием, особенно если они загружены из непроверенных источников.
• Изучайте содержимое кода и отзывы других пользователей о пакетах.

Используйте виртуальные среды для установки и тестирования новых библиотек.