Кінцева мета – крадіжка конфіденційних даних зі скомпрометованих систем розробників.
Новий набір шкідливих пакетів Python виявили у сховищі Package Index (PyPI). Вони маскуються під легальні інструменти обфускації, але містять частину зловмисного ПЗ BlazeStealer. Кампанія з використанням восьми шкідливих пакетів Python почалася у січні 2023 року, а останній пакет – pyobfgood – був опублікований в жовтні.
BlazeStealer отримує додатковий шкідливий скрипт із зовнішнього джерела і запускає бот Discord, що дозволяє зловмиснику збирати паролі браузерів, робити знімки екрана, шифрувати файли, виконувати довільні команди і деактивувати антивірус Microsoft Defender на зараженому хості. Ба більше, BlazeStealer може зробити комп’ютер непридатним для використання, збільшивши використання центрального процесора, вставивши пакетний сценарій Windows у каталог запуску, щоб вимкнути машину, і навіть викликавши помилку «синій екран смерті» (BSoD).
Найбільше шкідливих пакетів дісталося мешканцям США, на другому місці – китайські користувачі, на третьому – росіяни. Загалом зловмисне ПЗ встигли завантажити 2438 разів, перш ніж його видалили. Фахівці з кібербезпеки нагадують, що домен з відкритим вихідним кодом вимагає обережності, тож розробники мають пильнувати і перевіряти пакети перед використанням.
