Сегодня ночью злоумышленник с одной учётной записи за короткий промежуток времени выложил следующие проекты: — fwk-amigapython — fwk-amigapython-amigamlserver — fwk-amigapython-rest-server — wisecloudsecrets — wisecloudcyberark — heimdal-credentials — identityapi Занятно, что названия пакетов выглядят действительно соответствующие задаче: внутри fwk-amigapython-amigamlserver имитируется ML-сервер, разве что он всегда возвращает {prediction: None} 🤔 При установке этих пакетов они: 1. Активируют дальнейшую логику "регистрации в системе телеметрии" при обнаружении следующих переменных окружения: "CI", "GITHUB_ACTIONS", "JENKINS_URL", "BUILD_BUILDID". 2. В "сборе контекста окружения" (collect_environment_context) выборочно собирают секреты, а в submit_metrics отправляют их на сервер. Простые инфостилеры легко поддаются обнаружению. Поэтому злоумышленник постарался и максимально замаскировал код под сбор телеметрии 🐈‍⬛ Полный список секретов из переменных окружения есть на рис. 1. Из интересного дополнительно собираются: - токены, связанные с GitHub; - токен сервисной учётки для K8s (хотя вне окружения его использовать не представляется возможным); - учётные данные, сохранённые в конфигурации Docker. Хост, на который отправляется телеметрия, слегка обфусцирован (рис. 2). Хотя кампания и выполнена в уникальном стиле, который выбивается из общего потока инфостилеров, это злоумышленнику не помогло — троян просуществовал 6 часов 🤡 @disasm_me_ch 🥰😑🤡 Забустить