Източник: technews.bg

Злонамерени пакети, крадящи данни от социални мрежи, бяха открити в официалното хранилище на Python. Въпреки че бързо бяха премахнати, преди това успяха да бъдат изтеглени стотици пъти от потребители.

Става дума за пакетите Zebo и Cometlogger, които според FortiGuard Labs на Fortinet са способни да извличат чувствителна информация от заразените устройства. Zebo е бил свален 118 пъти, а Cometlogger – 164 пъти, като повечето изтегляния идват от САЩ, Китай, Русия и Индия.

Специалистите описват Zebo като класически шпионски софтуер, който следи активността на потребителите, извлича данни и осигурява неоторизиран достъп. Cometlogger е още по-опасен, тъй като краде файлове, инжектира уеб hook-и, събира пароли, токени и информация от популярни платформи като Discord, Instagram, TikTok, Reddit и други. Освен това може да събира данни за системата, мрежата, Wi-Fi връзките, съдържанието на клипборда и дори списъка с активни процеси.

Zebo прикрива дейността си с обфускация чрез шестнадесетично кодиране на адресите на командния сървър и използва HTTP заявки за комуникация. Освен прихващане на натискания на клавиши чрез библиотеката pynput, той прави екранни снимки на всеки час с помощта на ImageGrab и ги качва в ImgBB чрез специален API ключ. За да се стартира автоматично при всяко включване на компютъра, добавя свой скрипт в папката Startup на Windows.

Cometlogger от своя страна притежава защита срещу анализ, като проверява дали работи във виртуална машина и блокира определени процеси, за да осигури пълен достъп до браузъри и файлове.