Два пакета позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы.

Операторы официального репозитория компонентов Python Package Index (PyPI) удалили восемь библиотек (pytagora, pytagora2, noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) содержащих вредоносный код.

Вредоносные пакеты были обнаружены командой ИБ-исследователей JFrog и были сгруппированы в две категории в зависимости от выполняемых ими вредоносных операций. Два пакета (pytagora и pytagora2) позволяли удаленному злоумышленнику запускать вредоносные команды на устройстве жертвы, заставляя зараженную систему подключаться к IP-адресу злоумышленника через TCP-порт 9009, а затем выполнять любой вредоносный код на языке Python.

Остальные шесть пакетов (noblesse, genesisbot, are, suffer, noblesse2 и noblessev2) работали в основном для осуществления кражи данных. После установки на компьютере они похищали данные, уделяя особое внимание общей системной информации, токенам Discord и информации платежных карт пользователя (похищенной из установленных браузеров Google Chrome, Opera, Brave и пр.).

Данные восемь библиотек были загружены более чем 30 тыс. раз перед удалением с репозитория PyPI.

Источник: securitylab