Botaa3 Вредоносное ПО

Другой опасный пакет был обнаружен в репозитории Python Package Index (PyPI). До того, как угроза была удалена, ей удалось набрать около 130 загрузок. Пакет был назван «botaa3» в неудачной попытке имитировать имя «boto3», широко популярный комплект разработки программного обеспечения (SDK) Amazon Web Services (AWS) для Python.

Эксперты по кибербезопасности проанализировали код угрозы и обнаружили ее гнусные возможности. Пакет botaa3, еслиуспешно развернутый, предоставит злоумышленникам возможность выполнять произвольный код в взломанной системе, эффективно получая контроль над ней.

Технические подробности

В пакете botaa3 было несколько уровней обфускации с использованием кодирования base64 и побитового XOR-шифрования. Кроме того, он также содержит весь код законного пакета boto3. Фактически, угроза устанавливает boto3 как часть своих действий, чтобы избежать каких-либо подозрений. В код также заложена дата «KillDate», установленная 17 ноября 2020 года. После этой даты пакет botaa3 больше не будет работать.

Угрожающие возможности

Одним из первых действий вредоносной программы является проверка ее сервера Command-and-Control (C2, C&C). На этом этапе botaa3 извлекает различную информацию, полученную из системы жертвы. Данные включают IP-адрес, сведения об ОС и архитектуре, учетные данные, имя хоста, полное доменное имя (полное доменное имя) и многое другое.

После этого botaa3 будет ждать входящих команд. Злоумышленники могут собирать файлы или загружать дополнительные, манипулировать файловой системой (удалять файлы и папки), открывать обратные оболочки, загружать дополнительные модули и скрипты Python и т. Д. бездействующий.

Получив уведомление о наличии угрозы botaa3, команда безопасности PyPI почти сразу приняла меры и удалила угрожающий пакет.