В PyPI нашли зловреды, ворующие ключи от аккаунтов в соцсетях

от admin 09.01.2025

09.01.2025

Вредоносные пакеты из PyPI успели похитить данные: 282 загрузки, большинство — в США, Китае, России и Индии.

030 открытий194 показов

В официальном репозитории PyPI, предназначенном для Python-пакетов, обнаружены два вредоносных пакета — zebo и cometlogger.

Они были нацелены на кражу данных пользователей и уже успели набрать 118 и 164 скачивания соответственно до их удаления.

Большинство загрузок пришлось на США, Китай, Россию и Индию.

Zebo: слежка и перехват данных

Пакет zebo, как отмечают эксперты FortiGuard Labs, обладает широкими возможностями для кражи информации. Среди его функций:

Перехват нажатий клавиш с использованием библиотеки pynput.
Создание скриншотов раз в час и отправка их на ImgBB через API.
Постоянное присутствие: скрипт на Python автоматически добавляется в автозагрузку Windows.
Скрытность: код обфусцирован, строки зашифрованы, а связь с командным сервером осуществляется через HTTP.

Cometlogger оказался ещё более опасным, предоставляя злоумышленникам доступ к:

Аккаунтам в соцсетях и сервисах: Discord, Steam, TikTok, Reddit, Twitch и др.
Файлам cookie, паролям и токенам доступа.
Системным данным: метаданные, список процессов, сетевую информацию, данные Wi-Fi и содержимое буфера обмена.
Защита от анализа: обнаруживает виртуальные машины и избегает запуска в них.

Оба пакета были оперативно удалены из PyPI, однако их наличие вновь привлекло внимание к проблемам безопасности репозитория.

Никита Павлов, эксперт компании SEQ, отметил:

«Подобные инциденты повторяются регулярно. PyPI необходимо ввести более строгие меры контроля, чтобы предотвратить загрузку вредоносного кода».