A botaa3 rosszindulatú program hamis PyPi Python-csomagokban található
Az utóbbi időben egyre több kiberbűnöző helyezi el rosszindulatú szoftvereit szkriptek, böngészőbővítmények vagy egyéb tartalmak tárolóiba. Ennek egyik legújabb példája a botaa3 Malware, amely úgy tűnik, hogy egy rosszindulatú PyPi csomagban található. A PyPi vagy a Python Package Index több millió Python-kódrészlet és szkript tárháza, amelyeket a fejlesztők megosztanak egymással. Természetesen a botaa3 Malware nem legitim szkript – rosszindulatú feladatokat hajt végre, ha nem védett rendszeren fut.
A botaa3 Malware készítői az egyik legnépszerűbb PyPi csomag – boto3 – nevét utánozzák. A botaa3 Malware egy erősen elhomályosított PyPi csomagban érkezik, amely XOR titkosításra támaszkodik. De mit rejt a rakomány?
A botaa3 malware tartalma
A szkript elindítása után csatlakozik a támadó szerveréhez, amely szintén félrevezető tartománynevet használ – install.pypi-installer.com . A vezérlőszerver bizonyos információkat kap az implantátumtól:
- Az áldozat IP- és Mac-címe.
- Az operációs rendszer verziója.
- Felhasználónév és gazdagépnév.
- A hasznos teher folyamatazonosítója.
A támadó távolról küldött parancsokon keresztül tudja irányítani a botaa3 malware-t. A kártevő képes fájlok feltöltésére és letöltésére, a fájlrendszer kezelésére, távoli parancsok végrehajtására és további Python-szkriptek betöltésére. Ez azt jelenti, hogy a botaa3 Malware nagyon rugalmas lehet a funkcionalitás tekintetében, tovább növelve támadási potenciálját.
A botaa3 rosszindulatú programokkal és hasonló terhelésekkel szembeni rendszerének védelméhez naprakész víruskereső szoftverre van szükség. Ügyeljen arra is, hogy mindig megbízható forrásból töltsön le tartalmat – amint láthatja, a bűnözők gyakran utánozzák a legális webhelyek, szolgáltatások és fájlok nevét.