В каталоге PyPI выявлены вредоносные пакеты

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет "colourama", который маскировался под популярную библиотеку "colorama" и включал копию ее кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносное дополнение также включало код для загрузки и установки в систему скрипта на Visual Basic при установке пакета на платформе Windows.

Данный скрипт активировался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификаторов криптокошельков скрипт подменял присутствующий адрес кошелька на свой кошелек, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга, при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователя, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 пакетов в PyPI. В ходе анализа, помимо colourama было выявлено еще 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.