W4SP Stealer в множество пакети на PyPI

Бандитите са публикували поредния кръг от зловредни пакети в Python Package Index (PyPI) с цел да доставят зловреден софтуер за кражба на информация на компрометирани машини на разработчици.

Интересното е, че макар зловредният софтуер да носи различни имена като ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer и @skid Stealer, компанията за киберсигурност Phylum установи, че всички те са копия на W4SP Stealer.

W4SP Stealer функционира предимно за извличане на потребителски и идентификационни данни, портфейли с криптовалути, Discord токени и други файлове, представляващи интерес. Тя е създадена и публикувана от хакер, който се подвизава под псевдонимите BillyV3, BillyTheGoat и billythegoat356.

„По някаква причина всяко внедряване изглежда просто се е опитвало да направи намиране на препратките към W4SP в замяна на някакво друго привидно произволно име“, казват изследователите в доклад, публикуван по-рано тази седмица.

Шестнадесетте некоректни модула са следните: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy и proxybooster.

Кампанията за разпространение на W4SP Stealer набира сила около октомври 2022г., въпреки че има индикации, че може да е започнала още на 25 август 2022г. Оттогава насам в PyPI са публикувани десетки допълнителни фалшиви пакети, съдържащи W4SP Stealer, от изпвършителите на  постоянната заплаха.

Най-новата итерация на дейността, доколкото си заслужава, не прави нищо очевидно, за да скрие гнусните си намерения, освен в случая на chazz, който използва пакета, за да изтегли замаскиран зловреден софтуер Leaf $tealer, хостван в услугата за пействане klgrth[.]io.

Струва си да се отбележи, че предишни версии на веригите за атаки също са били забелязани да извличат следващ етап на Python код директно от публично хранилище на GitHub, който след това пуска крадеца на пълномощия.

Нарастването на броя на новите имитиращи варианти съвпада с премахването от GitHub на хранилището, в което се съхраняваше оригиналният изходен код на W4SP Stealer, което показва, че киберпрестъпниците, които вероятно не са свързани с операцията, също използват зловредния софтуер за атаки срещу потребители на PyPI.

„Екосистемите с отворен код като PyPI, NPM и други подобни са много лесни цели за този вид хакери, които могат да се опитат да разгърнат този вид зловреден софтуер“, казват изследователите. Опитите им само ще стават все по-чести, по-настойчиви и най-сложни.“

Фирмата за сигурност на веригата за доставки на софтуер, която следи канала на заплахата в Discord, отбеляза още, че преди това маркиран пакет под името pystyle е бил троянизиран от BillyTheGoat, за да разпространява крадеца.

Модулът не само е натрупал хиляди изтегляния всеки месец, но и е започнал като безобидна програма през септември 2021г., за да помогне на потребителите да стилизират конзолния изход. Зловредните модификации са въведени във версии 2.1 и 2.2, пуснати на 28 октомври 2022г.

Твърди се, че тези две версии, които са живели в PyPI около час, преди да бъдат изтеглени, са получили 400 изтегляния, казва BillyTheGoat пред Phylum в „непоискана кореспонденция“.

„Това, че даден пакет е доброкачествен днес и е показал история на доброкачественост в продължение на години, не означава, че той ще остане такъв“, предупреждават изследователите. „Извършителите са проявили огромно търпение в създаването на легитимни пакети, само за да ги отровят със зловреден софтуер, след като са станали достатъчно популярни.“

 

Източник: The Hacker News

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...
Бъдете социални
Още по темата
02/05/2023

Виетнамeц зарази 500 000 ус...

Виетнамски хакер е обявен за отговорник...
12/04/2023

Престъпниците ползват прогр...

Зловредни програми за зареждане, които могат...
06/04/2023

Новият пазар в тъмната мре...

Нов пазар в тъмната мрежа, наречен...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!