Вредоносный Python-пакет psslib угрожает системам Windows

Команда Socket по исследованию угроз выявила новый вредоносный пакет Python под названием psslib, созданный хакером с псевдонимом umaraq. Несмотря на то, что пакет претендует на роль инструмента для защиты паролей, его реальное предназначение — немедленное завершение работы систем на базе Windows при вводе неправильных данных аутентификации.

Что такое psslib и почему это опасно?

psslib представляет собой поддельную версию популярной и надежной библиотеки passlib, которая широко используется разработчиками для безопасного хэширования паролей. На сегодняшний день passlib загружается более 8,9 миллиона раз в месяц, что подтверждает его популярность и доверие в сообществе.

Вредоносный пакет сохраняет структуру и название оригинальной библиотеки, но содержит опечатки и деструктивный код. Именно благодаря такой махинации злоумышленник рассчитывает на то, что разработчики по ошибке установят psslib, приняв его за легитимный инструмент.

Механизм вредоносного воздействия

• При вводе неправильного пароля на системе Windows psslib вызывает немедленное завершение работы системы (crash).
• Пакет обходит стандартные средства безопасности, используя повышенные привилегии, доступные разработчикам.
• Деструктивный функционал приводит к потере данных и сбоям, нарушая целостность как сред разработки, так и производственных систем.

Кроме того, вредоносный пакет все еще находится в публичном реестре Python, что требует активного вмешательства для его удаления и блокировки дальнейшего распространения.

Опасности для экосистемы разработки и бизнеса

Атаки на пакеты безопасности с использованием опечаток (typosquatting) представляют особую угрозу, поскольку:

• Разработчики доверяют пакетам, которые заявляют о предоставлении функций безопасности.
• Подобные пакеты могут незаметно интегрироваться в пользовательские приложения и конвейеры CI/CD.
• Компрометация одной библиотеки может привести к каскадным последствиям для конечных пользователей и бизнес-процессов.

Таким образом, вред, наносимый psslib, выходит далеко за пределы локальных рабочих станций – затрагиваются критически важные системы и процессы, связанные с аутентификацией и безопасностью.

Адаптация под среду Windows

Отдельного внимания заслуживает факт, что вредоносный код специфичен для Windows-платформы. Это указывает на то, что злоумышленник целенаправленно адаптировал атаку под среду, в которой часто работают разработчики — для автоматизации задач, написания скриптов и создания Python-приложений.

Рекомендации и дальнейшие действия

• Пользователям и организациям следует внимательно проверять названия и источники устанавливаемых библиотек, особенно связанных с безопасностью.
• Обеспечить мониторинг и автоматическую проверку пакетов с помощью современных сканеров искусственного интеллекта, таких как используемый командой Socket.
• Официальным организациям и администраторам репозитория Python необходимо ускорить удаление вредоносных пакетов и информировать сообщество о подобных инцидентах.

psslib служит тревожным напоминанием о том, насколько уязвимы именно библиотеки безопасности, а также важности бдительности и комплексных мер для защиты процессов разработки и эксплуатации ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.