Експерти виявили в PyPI сім шкідливих пакетів, що використовують SMTP-сервери Gmail і веб-сокети для крадіжки даних і віддаленого виконання команд.

Пакети були виявлені аналітиками Socket, які повідомили про свої знахідки в PyPI, після чого пакети були видалені. Однак деякі з них були присутні в PyPI понад чотири роки, а один пакет і зовсім був завантажений понад 18 000 разів.

Дослідники знайшли шахрайство в наступних пакетах:

-Coffin-Codes-Pro (9000 завантажень);
-Coffin-Codes-NET2 (6200 завантажень);
-Coffin-Codes-NET (6100 завантажень);
-Coffin-Codes-2022 (18 100 завантажень);
-Coffin2022 (6500 завантажень);
-Coffin-Grave (6500 завантажень);
-cfc-bsb (2900 завантажень).

Пакети використовували жорстко закодовані облікові дані для входу на SMTP-сервер Gmail (smtp.gmail.com) і відправляли своїм операторам зібрану на машинах жертв інформацію, яка дає змогу отримати віддалений доступ до зламаної системи. Оскільки Gmail є довіреним ресурсом, брандмауери і системи EDR навряд чи вважатимуть таку активність підозрілою.

Після передачі даних поштою шкідник підключався до віддаленого сервера, використовуючи WebSocket через SSL, і отримував інструкції з налаштування зашифрованого двонаправленого тунелю від хоста до атакуючого.

Дослідники вважають, що пакети були в основному орієнтовані на крадіжку криптовалюти. Про це свідчать використовувані поштові адреси (наприклад, [email protected]) і той факт, що раніше зловмисники вже застосовували схожу тактику для крадіжки приватних ключів Solana.