Търсене
Close this search box.

W4SP Stealer в множество пакети на PyPI

Бандитите са публикували поредния кръг от зловредни пакети в Python Package Index (PyPI) с цел да доставят зловреден софтуер за кражба на информация на компрометирани машини на разработчици.

Интересното е, че макар зловредният софтуер да носи различни имена като ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer и @skid Stealer, компанията за киберсигурност Phylum установи, че всички те са копия на W4SP Stealer.

W4SP Stealer функционира предимно за извличане на потребителски и идентификационни данни, портфейли с криптовалути, Discord токени и други файлове, представляващи интерес. Тя е създадена и публикувана от хакер, който се подвизава под псевдонимите BillyV3, BillyTheGoat и billythegoat356.

„По някаква причина всяко внедряване изглежда просто се е опитвало да направи намиране на препратките към W4SP в замяна на някакво друго привидно произволно име“, казват изследователите в доклад, публикуван по-рано тази седмица.

Шестнадесетте некоректни модула са следните: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy и proxybooster.

Кампанията за разпространение на W4SP Stealer набира сила около октомври 2022г., въпреки че има индикации, че може да е започнала още на 25 август 2022г. Оттогава насам в PyPI са публикувани десетки допълнителни фалшиви пакети, съдържащи W4SP Stealer, от изпвършителите на  постоянната заплаха.

Най-новата итерация на дейността, доколкото си заслужава, не прави нищо очевидно, за да скрие гнусните си намерения, освен в случая на chazz, който използва пакета, за да изтегли замаскиран зловреден софтуер Leaf $tealer, хостван в услугата за пействане klgrth[.]io.

Струва си да се отбележи, че предишни версии на веригите за атаки също са били забелязани да извличат следващ етап на Python код директно от публично хранилище на GitHub, който след това пуска крадеца на пълномощия.

Нарастването на броя на новите имитиращи варианти съвпада с премахването от GitHub на хранилището, в което се съхраняваше оригиналният изходен код на W4SP Stealer, което показва, че киберпрестъпниците, които вероятно не са свързани с операцията, също използват зловредния софтуер за атаки срещу потребители на PyPI.

„Екосистемите с отворен код като PyPI, NPM и други подобни са много лесни цели за този вид хакери, които могат да се опитат да разгърнат този вид зловреден софтуер“, казват изследователите. Опитите им само ще стават все по-чести, по-настойчиви и най-сложни.“

Фирмата за сигурност на веригата за доставки на софтуер, която следи канала на заплахата в Discord, отбеляза още, че преди това маркиран пакет под името pystyle е бил троянизиран от BillyTheGoat, за да разпространява крадеца.

Модулът не само е натрупал хиляди изтегляния всеки месец, но и е започнал като безобидна програма през септември 2021г., за да помогне на потребителите да стилизират конзолния изход. Зловредните модификации са въведени във версии 2.1 и 2.2, пуснати на 28 октомври 2022г.

Твърди се, че тези две версии, които са живели в PyPI около час, преди да бъдат изтеглени, са получили 400 изтегляния, казва BillyTheGoat пред Phylum в „непоискана кореспонденция“.

„Това, че даден пакет е доброкачествен днес и е показал история на доброкачественост в продължение на години, не означава, че той ще остане такъв“, предупреждават изследователите. „Извършителите са проявили огромно търпение в създаването на легитимни пакети, само за да ги отровят със зловреден софтуер, след като са станали достатъчно популярни.“

 

Източник: The Hacker News

Подобни публикации

29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
22/03/2024

Хакерският екип "Synacktiv"...

Инициативата Zero Day присъди общо 732...
22/10/2023

Проникването в системите на...

Преди пет седмици Международният наказателен съд...
15/08/2023

Атаките MaginotDNS използва...

Екип от изследователи от Калифорнийския университет...
Последно добавени
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
29/05/2024

Рутерът за игри TP-Link Arc...

Рутерът за игри TP-Link Archer C5400X...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!