Botaa3 Il malware risiede nei pacchetti Python PyPi falsi

Ultimamente, sempre più criminali informatici hanno installato il loro software dannoso all'interno di repository per script, componenti aggiuntivi del browser o altri tipi di contenuti. Uno degli esempi recenti di questo è il malware botaa3, che sembra risiedere in un pacchetto PyPi dannoso. PyPi, o Python Package Index, è un repository per milioni di frammenti di codice Python e script che gli sviluppatori condividono tra loro. Naturalmente, il malware botaa3 non è uno script legittimo: esegue attività dannose se viene eseguito su un sistema non protetto.

I creatori del malware botaa3 stanno imitando il nome di uno dei pacchetti PyPi più popolari: boto3. Il malware botaa3 arriva in un pacchetto PyPi molto offuscato, che si basa sulla crittografia XOR. Ma cosa nasconde il carico utile?

Il contenuto del malware botaa3

Una volta avviato, lo script si connetterà al server dell'attaccante che utilizza anche un nome di dominio fuorviante: install.pypi-installer.com . Il server di controllo riceve alcune informazioni dall'impianto:

• L'indirizzo IP e Mac della vittima.
• La versione del sistema operativo.
• Nome utente e nome host.
• L'ID processo del payload.

L'attaccante è in grado di controllare il malware botaa3 tramite comandi inviati in remoto. Il malware è in grado di caricare e scaricare file, gestire il file system, eseguire comandi remoti e caricare script Python aggiuntivi. Ciò significa che il malware botaa3 può essere molto flessibile in termini di funzionalità, migliorando ulteriormente il suo potenziale di attacco.

La protezione del sistema dal malware botaa3 e da payload simili richiede l'utilizzo di un software antivirus aggiornato. Inoltre, assicurati di scaricare sempre contenuti da fonti affidabili: come puoi vedere, i criminali spesso imitano i nomi di siti, servizi e file legittimi.