Исследователи в области кибербезопасности обнаружили две зловредные библиотеки Python, выложенные в официальный репозиторий PyPI, которые выдавали себя за безобидные инструменты для проверки орфографии, но на самом деле служили для установки удалённого трояна с доступом к системе (RAT).
Как маскировалась атака
Зловредные пакеты назывались spellcheckerpy и spellcheckpy и были загружены в репозиторий между 20 и 21 января 2026 года. Внешне они выглядели как утилиты для проверки правописания. Однако при внимательном анализе оказалось, что под капотом скрывался механизм загрузки трояна.
Скрытый троян в словаре
Атака была необычной тем, что вредоносный код не находился в обычном исполняемом скрипте (__init__.py), как это делают многие злоумышленники, а был спрятан внутри файла словаря resources/eu.json.gz, который в легитимной версии пакета содержит частоты слов баскского языка.
Этот файл содержал base64-закодированный загрузчик, который активировался при импорте объекта SpellChecker. В версии spellcheckpy v1.2.0, опубликованной 21 января, был добавлен специальный скрытый триггер, который запускал загрузчик сразу при импорте модуля.
Что делал троян
После активации код загружал из внешнего источника полноценный RAT с функционалом:
установки постоянного удалённого доступа;
сбора информации о системе;
выполнения произвольных команд.
Команда управления и контроля (C2) находилась на домене updatenet[.]work (IP: 172.86.73.139), который, по данным исследователей, связан с хостинг-провайдером, ранее замеченным в обслуживании групп, связанных с государственными акторами.
Масштаб и последствия
До того как пакеты были удалены 28 января 2026 года, они были скачены более 1000 раз, что указывает на потенциальную широкую экспозицию среди разработчиков.
Подобные атаки на цепочку поставок программного обеспечения (software supply chain) являются одним из наиболее опасных векторов угроз, так как заражение может распространиться на множество проектов и систем автоматически через зависимости.
Предыдущие случаи и тренды
Это не первый случай, когда злоумышленники публикуют вредоносные пакеты на PyPI. В ноябре 2025 года анализаторы безопасности уже выявляли похожий пакет под названием spellcheckers, который также пытался доставить RAT, что наталкивает на мысль о возможной связанной кампании.
Кроме того, эксперты предупреждают о slopsquatting атаке, когда искусственный интеллект генерирует имена пакетов, не существующих в реальности, которые затем используют злоумышленники для публикации вредоносного кода.
Как защититься
Чтобы снизить риски подобных атак, разработчикам и командам безопасности рекомендуется:
использовать инструменты анализа поставщиков зависимостей (Software Composition Analysis);
внимательно проверять источники и авторов пакетов;
функционировать в изолированных средах разработки и CI/CD;
применять мониторинг на предмет подозрительных сетевых запросов или необычного поведения после установки новых зависимостей.
Источник: HN