Търсене
Close this search box.

Бандитите са публикували поредния кръг от зловредни пакети в Python Package Index (PyPI) с цел да доставят зловреден софтуер за кражба на информация на компрометирани машини на разработчици.

Интересното е, че макар зловредният софтуер да носи различни имена като ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer и @skid Stealer, компанията за киберсигурност Phylum установи, че всички те са копия на W4SP Stealer.

W4SP Stealer функционира предимно за извличане на потребителски и идентификационни данни, портфейли с криптовалути, Discord токени и други файлове, представляващи интерес. Тя е създадена и публикувана от хакер, който се подвизава под псевдонимите BillyV3, BillyTheGoat и billythegoat356.

„По някаква причина всяко внедряване изглежда просто се е опитвало да направи намиране на препратките към W4SP в замяна на някакво друго привидно произволно име“, казват изследователите в доклад, публикуван по-рано тази седмица.

Шестнадесетте некоректни модула са следните: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy и proxybooster.

Кампанията за разпространение на W4SP Stealer набира сила около октомври 2022г., въпреки че има индикации, че може да е започнала още на 25 август 2022г. Оттогава насам в PyPI са публикувани десетки допълнителни фалшиви пакети, съдържащи W4SP Stealer, от изпвършителите на  постоянната заплаха.

Най-новата итерация на дейността, доколкото си заслужава, не прави нищо очевидно, за да скрие гнусните си намерения, освен в случая на chazz, който използва пакета, за да изтегли замаскиран зловреден софтуер Leaf $tealer, хостван в услугата за пействане klgrth[.]io.

Струва си да се отбележи, че предишни версии на веригите за атаки също са били забелязани да извличат следващ етап на Python код директно от публично хранилище на GitHub, който след това пуска крадеца на пълномощия.

Нарастването на броя на новите имитиращи варианти съвпада с премахването от GitHub на хранилището, в което се съхраняваше оригиналният изходен код на W4SP Stealer, което показва, че киберпрестъпниците, които вероятно не са свързани с операцията, също използват зловредния софтуер за атаки срещу потребители на PyPI.

„Екосистемите с отворен код като PyPI, NPM и други подобни са много лесни цели за този вид хакери, които могат да се опитат да разгърнат този вид зловреден софтуер“, казват изследователите. Опитите им само ще стават все по-чести, по-настойчиви и най-сложни.“

Фирмата за сигурност на веригата за доставки на софтуер, която следи канала на заплахата в Discord, отбеляза още, че преди това маркиран пакет под името pystyle е бил троянизиран от BillyTheGoat, за да разпространява крадеца.

Модулът не само е натрупал хиляди изтегляния всеки месец, но и е започнал като безобидна програма през септември 2021г., за да помогне на потребителите да стилизират конзолния изход. Зловредните модификации са въведени във версии 2.1 и 2.2, пуснати на 28 октомври 2022г.

Твърди се, че тези две версии, които са живели в PyPI около час, преди да бъдат изтеглени, са получили 400 изтегляния, казва BillyTheGoat пред Phylum в „непоискана кореспонденция“.

„Това, че даден пакет е доброкачествен днес и е показал история на доброкачественост в продължение на години, не означава, че той ще остане такъв“, предупреждават изследователите. „Извършителите са проявили огромно търпение в създаването на легитимни пакети, само за да ги отровят със зловреден софтуер, след като са станали достатъчно популярни.“

 

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
22/03/2024

Хакерският екип "Synacktiv"...

Инициативата Zero Day присъди общо 732...
22/10/2023

Проникването в системите на...

Преди пет седмици Международният наказателен съд...
15/08/2023

Атаките MaginotDNS използва...

Екип от изследователи от Калифорнийския университет...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!