A botaa3 rosszindulatú program hamis PyPi Python-csomagokban található

Az utóbbi időben egyre több kiberbűnöző helyezi el rosszindulatú szoftvereit szkriptek, böngészőbővítmények vagy egyéb tartalmak tárolóiba. Ennek egyik legújabb példája a botaa3 Malware, amely úgy tűnik, hogy egy rosszindulatú PyPi csomagban található. A PyPi vagy a Python Package Index több millió Python-kódrészlet és szkript tárháza, amelyeket a fejlesztők megosztanak egymással. Természetesen a botaa3 Malware nem legitim szkript – rosszindulatú feladatokat hajt végre, ha nem védett rendszeren fut.

A botaa3 Malware készítői az egyik legnépszerűbb PyPi csomag – boto3 – nevét utánozzák. A botaa3 Malware egy erősen elhomályosított PyPi csomagban érkezik, amely XOR titkosításra támaszkodik. De mit rejt a rakomány?

A botaa3 malware tartalma

A szkript elindítása után csatlakozik a támadó szerveréhez, amely szintén félrevezető tartománynevet használ – install.pypi-installer.com . A vezérlőszerver bizonyos információkat kap az implantátumtól:

• Az áldozat IP- és Mac-címe.
• Az operációs rendszer verziója.
• Felhasználónév és gazdagépnév.
• A hasznos teher folyamatazonosítója.

A támadó távolról küldött parancsokon keresztül tudja irányítani a botaa3 malware-t. A kártevő képes fájlok feltöltésére és letöltésére, a fájlrendszer kezelésére, távoli parancsok végrehajtására és további Python-szkriptek betöltésére. Ez azt jelenti, hogy a botaa3 Malware nagyon rugalmas lehet a funkcionalitás tekintetében, tovább növelve támadási potenciálját.

A botaa3 rosszindulatú programokkal és hasonló terhelésekkel szembeni rendszerének védelméhez naprakész víruskereső szoftverre van szükség. Ügyeljen arra is, hogy mindig megbízható forrásból töltsön le tartalmat – amint láthatja, a bűnözők gyakran utánozzák a legális webhelyek, szolgáltatások és fájlok nevét.