Бандитите са публикували поредния кръг от зловредни пакети в Python Package Index (PyPI) с цел да доставят зловреден софтуер за кражба на информация на компрометирани машини на разработчици.

Интересното е, че макар зловредният софтуер да носи различни имена като ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer и @skid Stealer, компанията за киберсигурност Phylum установи, че всички те са копия на W4SP Stealer.

W4SP Stealer функционира предимно за извличане на потребителски и идентификационни данни, портфейли с криптовалути, Discord токени и други файлове, представляващи интерес. Тя е създадена и публикувана от хакер, който се подвизава под псевдонимите BillyV3, BillyTheGoat и billythegoat356.

„По някаква причина всяко внедряване изглежда просто се е опитвало да направи намиране на препратките към W4SP в замяна на някакво друго привидно произволно име“, казват изследователите в доклад, публикуван по-рано тази седмица.

Шестнадесетте некоректни модула са следните: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy и proxybooster.

Кампанията за разпространение на W4SP Stealer набира сила около октомври 2022г., въпреки че има индикации, че може да е започнала още на 25 август 2022г. Оттогава насам в PyPI са публикувани десетки допълнителни фалшиви пакети, съдържащи W4SP Stealer, от изпвършителите на  постоянната заплаха.

Най-новата итерация на дейността, доколкото си заслужава, не прави нищо очевидно, за да скрие гнусните си намерения, освен в случая на chazz, който използва пакета, за да изтегли замаскиран зловреден софтуер Leaf $tealer, хостван в услугата за пействане klgrth[.]io.

Струва си да се отбележи, че предишни версии на веригите за атаки също са били забелязани да извличат следващ етап на Python код директно от публично хранилище на GitHub, който след това пуска крадеца на пълномощия.

Нарастването на броя на новите имитиращи варианти съвпада с премахването от GitHub на хранилището, в което се съхраняваше оригиналният изходен код на W4SP Stealer, което показва, че киберпрестъпниците, които вероятно не са свързани с операцията, също използват зловредния софтуер за атаки срещу потребители на PyPI.

„Екосистемите с отворен код като PyPI, NPM и други подобни са много лесни цели за този вид хакери, които могат да се опитат да разгърнат този вид зловреден софтуер“, казват изследователите. Опитите им само ще стават все по-чести, по-настойчиви и най-сложни.“

Фирмата за сигурност на веригата за доставки на софтуер, която следи канала на заплахата в Discord, отбеляза още, че преди това маркиран пакет под името pystyle е бил троянизиран от BillyTheGoat, за да разпространява крадеца.

Модулът не само е натрупал хиляди изтегляния всеки месец, но и е започнал като безобидна програма през септември 2021г., за да помогне на потребителите да стилизират конзолния изход. Зловредните модификации са въведени във версии 2.1 и 2.2, пуснати на 28 октомври 2022г.

Твърди се, че тези две версии, които са живели в PyPI около час, преди да бъдат изтеглени, са получили 400 изтегляния, казва BillyTheGoat пред Phylum в „непоискана кореспонденция“.

„Това, че даден пакет е доброкачествен днес и е показал история на доброкачественост в продължение на години, не означава, че той ще остане такъв“, предупреждават изследователите. „Извършителите са проявили огромно търпение в създаването на легитимни пакети, само за да ги отровят със зловреден софтуер, след като са станали достатъчно популярни.“

 

Източник: The Hacker News

Подобни публикации

22 май 2025

Руската хакерска група APT28 шпионира междунаро...

Мащабна кибершпионска кампания, провеждана от подкрепяната от руска...
22 май 2025

Русия въвежда задължително приложение за просле...

В началото на май 2025 г. руското правителство обяви ново законодат...
22 май 2025

3 a.m. рансъмуер: нова вълна от таргетирани ат...

През първото тримесечие на 2025 г. специалисти по киберсигурност от...
22 май 2025

Mеждународна операция унищожи инфраструктурата ...

Microsoft, правоприлагащи органи и водещи технологични компании с к...
22 май 2025

ЕС наложи санкции на Stark Industries заради ру...

Европейският съюз официално наложи строги санкции на хостинг достав...
21 май 2025

M&S очаква загуби от над £300 милиона след ...

Британската търговска верига Marks & Spencer (M&S) се изпра...
21 май 2025

19-годишен студент се призна за виновен за атак...

Американският департамент по правосъдието (DOJ) обяви, че 19-годишн...
21 май 2025

Cellcom потвърди: Кибератака стои зад масовия с...

След дни на мълчание, компанията разкри, че нарушението е било резу...
21 май 2025

Критична уязвимост в WordPress темата Motors по...

Уязвимост с код CVE-2025-4322 засяга всички версии до 5.6.67 и позв...
Бъдете социални
Още по темата
12/05/2025

Хак на iClicker: фалшиво CA...

Уебсайтът на iClicker, широко използвана образователна...
29/09/2024

Милиони автомобили на Kia с...

Купувачите на автомобили обикновено имат много...
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
Последно добавени
22/05/2025

Руската хакерска група APT2...

Мащабна кибершпионска кампания, провеждана от подкрепяната...
22/05/2025

Русия въвежда задължително ...

В началото на май 2025 г....
22/05/2025

3 a.m. рансъмуер: нова въл...

През първото тримесечие на 2025 г....
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!