У PyPI виявили трояни, які сканували e-mail на наявність прив’язаних акаунтів TikTok та Instagram

У каталозі Python-пакетів PyPI виявили три шкідливих пакети, які діють як інструменти перевірки викрадених адрес електронної пошти на наявність прив’язаних акаунтів TikTok та Instagram. Про це повідомляє The Hacker News.

Усі три пакети більше недоступні на PyPI. Назви шкідливих пакетів Python: 

• checker-SaGaF (2605 завантажень);
• steinlurks (1049 завантажень);
• sinnercore (3300 завантажень).

Пакет checker-SaGaF розроблений для надсилання HTTP POST-запитів до API відновлення пароля TikTok та endpoints входу в обліковий запис Instagram. Це необхідно для перевірки, чи є на цьому e-mail акаунт, який використовується для авторизації в цих соцмережах.

Якщо на адресі виявлено прив’язаний акаунт, хакер додає його в списки для подальших атак: від розсилки спаму до зламів через підбір паролів. Валідація email-адрес — важлива ланка в підготовці фішингових кампаній. Також вони можуть бути продані в даркнеті іншим хакерам.

Інший пакет, steinlurks, імітував запити від Android-додатку Instagram, щоб оминути виявлення. Третій пакет — sinnercore — не лише перевіряв акаунти, а й збирав дані з Telegram (ім’я, ID, статус). Він був орієнтований на програмістів PyPI, оскільки отримував детальну інформацію про будь-який пакет PyPI, який, ймовірно, використовується власником пошти. У подальшому ці дані могли застосовуватись для створення фальшивих профілів розробників або видачі себе за реального розробника.