Подробности
Подразделение Microsoft Threat Intelligence начало расследование инцидента, связанного с пакетом mistralai в репозитории PyPI. Злоумышленники внедрили вредоносный код в версию пакета 2. 4. 6. При импорте пакета на Linux-системах код активировался автоматически, загружал дополнительный файл и запускал его скрытно.
Цель атаки и механизм зараженияВредоносная программа была нацелена на кражу учётных данных разработчиков. После активации она загружала дополнительный вредоносный компонент, который работал в фоновом режиме, собирая конфиденциальную информацию. Атака была спланирована таким образом, чтобы оставаться незамеченной как можно дольше. Любопытная деталь: авторы вредоносного кода добавили проверки, которые предотвращали его активацию в русскоязычных системах.
При обнаружении соответствующей языковой настройки вредонос не выполнял свои основные функции. Это может указывать на то, что злоумышленники стремились избежать внимания со стороны русскоязычных исследователей или правоохранительных органов. Microsoft продолжает анализ инцидента и рекомендует разработчикам, использующим пакет mistralai, проверить версию 2. 4.
6 и при необходимости обновить её до безопасной версии. Пользователям также следует быть внимательными при установке пакетов из PyPI и проверять их целостность. Этот случай подчёркивает важность безопасности цепочки поставок программного обеспечения. Разработчикам рекомендуется использовать инструменты для проверки зависимостей и следить за обновлениями безопасности от официальных источников.
Комментарии
Оставляйте комментарии, отвечайте другим пользователям и добавляйте быстрые реакции.