11.06.2025
1 хв
520
Шкідливий Python-пакет “imad213”, замаскований під інструмент для Instagram-розкрутки, викрадає логіни користувачів і передає їх відразу десятьом турецьким бот-сервісам. Кампанія, яка б’є по мільйонах користувачів, демонструє, що жага до лайків — нова точка входу для хакерів.
Під виглядом безпечного PyPI-пакета “imad213” кіберзлочинці розгорнули масштабну соціотехнічну атаку, орієнтовану на користувачів Instagram. Зловмисники створили правдоподібний GitHub-проєкт із нібито легітимною інструкцією: після встановлення через pip install imad213 користувача просять ввести облікові дані Instagram у консоль під виглядом «запуску розкрутки».
Ще однією особливістю є kill switch, який хакери можуть активувати через файл на Netlify, миттєво вимикаючи всі екземпляри шкідливого коду. За виявленням стоїть аналітична платформа Socket.dev, яка пов’язує цей кейс із кіберзлочинцем IMAD-213, що оперує через електронну пошту [[email protected]].
Атака експлуатує соціальний інстинкт до самоствердження в Instagram. У 2025 році, коли платформа має понад 2 мільярди активних користувачів, ринок послуг накрутки стає не лише прибутковим, а й небезпечним полем для фішингових операцій. Доменна інфраструктура, що зберігається активною з 2021 року, свідчить не про одноразову атаку, а про довгострокову, добре організовану злочинну мережу, що охоплює низку платформ.
Кейс “imad213” — це показовий приклад того, як легко хакери проникають у середовище PyPI, обертаючи жадібність користувача проти нього самого. Якщо ваша кібергігієна базується лише на поверхневій довірі до GitHub або PyPI, ви — ціль. Будь-який пакет, що просить ввести особисті дані в консоль, повинен бути автоматично заблокований. Наразі варто посилити внутрішні політики безпеки, автоматизувати перевірки підозрілих залежностей і навчати користувачів психології фішингу.
