Kiberbiztonsági kutatók kártékony csomagokat fedeztek fel a Python Package Index (PyPI) adattárban. Ezek egyfajta ellenőrző eszközként működtek, melyek azt vizsgálták, hogy az ellopott email címek érvényesek-e egy TikTok, vagy egy Instagram API ellen.
Ezek a kártékony csomagok többé már nem elérhetők, de érdemes megnézni a letöltések számát:
- checker-SaGaF (2,605 letöltés)
- steinlurks (1,049 letöltés)
- sinnercore (3,300 letöltés)
A checker-SaGaF – mint a neve is sejteti – azt vizsgálja, hogy egy adott email cím kapcsolódik-e bármilyen TikTok, vagy Instagram fiókhoz. Erről Olivia Brown, a Socket kutatója részletesen írt múlt heti elemzésében.
A csomag úgy lett kialakítva, hogy HTTP POST kérést küld a TikTok jelszóhelyreállító API-jának, illetve az Instagram bejelentkezési végpontjára, majd figyeli, hogy az email cím bemenetként érvényes-e. Amennyiben igen, akkor feltételezhetően létezik egy valós felhasználó is ahhoz az e-mail címhez.
Olivia Brown elmagyarázta, miután a támadók megszerezték ezt az információt fenyegethetnek adatszivárogtatással, spammelhetik az áldozat levelező tárhelyét, hamis bejelentéseket tehetnek annak érdekében, hogy blokkolva legyen az érintett felhasználó, vagy szimplán nyugtázzák, hogy létezik az adott fiók és a jövőben további támadásokhoz használhatják fel. Ezeket a listákat, amin érvényes felhasználók szerepelnek, gyakran a dark weben árusítják. Bár elsőre ártalmatlannak tűnhetnek, egy támadó számára igenis hasznos információt tartalmaznak, mivel a listában szereplő e-mail címek használatával felgyorsíthatja a támadás folyamatát és mindeközben kevésbé észlelhetővé is válhat.
A második csomag a steinlurks, amely hasonlóan hamis HTTP POST kéréseket küld, melyek utánozzák az Instagram Android alkalmazását. Az észlelés elkerülése érdekében Instagram fiókokat vesz célba különböző API végpontok segítségével:
- instagram[.]com/api/v1/users/lookup/
- instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- instagram[.]com/api/v1/web/accounts/check_email/
A harmadik csomag, a Sinnercore az Instagram „elfelejtett jelszó” funkcióját használja ki. Egy megadott felhasználóhoz hamis HTTP kérést küld a következő végponttal:
b.i.instagram[.]com/api/v1/accounts/send_password_reset/
A szakértő azt is kifejtette, hogy a csomag tartalmaz olyan funkciókat, amik Telegram felhasználókra vonatkoznak. Ezek segítségével ki lehet nyerni a felhasználóneveiket, felhasználó azonosítójukat, életrajzaikat, prémium tagsági státuszaikat és egyéb adataikat. Ezentúl a csomag egyes részei kripto eszközökre fókuszálnak, mint a valós idejű Binance árfolyamok, vagy a devizaátváltások lekérése. A fejlesztőket is célba veszi azáltal, hogy részletes adatokat kér le bármely PyPI csomagról, melyeket hamis profilokhoz használhatnak fel.
Ezzel egyidőben a ReversingLabs egy másik rosszindulatú csomagot is feltárt „dbgpkg” néven, mely debuggernek álcázta magát, viszont a háttérben egy backdoort telepített a fejlesztő gépére, ezzel adatlopást és káros kódok futtatását téve lehetővé. A csomagot már törölték, de 350 alkalommal letöltésre került. Érdekesség, hogy a régebbi csomagban („discordpydebug”) ugyanez a káros kód szerepelt, valamint volt egy harmadik is, „requestsdev” néven. További elemzésekből kiderült, hogy a csomagban alkalmazott backdoor technika, amely a GSocket eszközt használja, hasonlít a Phoenix Hyena nevű hacktivista csoport módszereihez. Karlo Zanki biztonsági kutató elmondta, hogy a fügvénybecsomagolás (function wrapping) és a Global Socket Toolkit használata, arra utal, hogy a támadók tartós jelenlétet próbáltak kiépíteni, anélkül hogy észlelhessék őket.
Részlet egy function wrapping-ből.
Forrás: https://thehackernews.com/2025/05/malicious-pypi-packages-exploit.html
Kiril Bojcsenko elmondta, hogy ez a csomag helyesírás-javítóként minden üzenetben nyolc karakteres hexadecimális karakterláncot keres. Ha talál egyet, továbbítja a teljes üzenetet (beleértve a tikosított részeket is) egy QQ fiókba. A nyolc karakteres hexadecimális kód gyakran lehet rövid Git commit hash, csonkolt JWT vagy API token, CRC-32 ellenőrzőösszeg, GUID lead szegmens vagy eszközök sorozatszámai. A teljes üzenettel a támadó jelszavakat képes begyűjteni, URL-ket, hitelesítő adatokat, tokeneket, vagy azonosítókat képes megszerezni.