Бандитите са публикували поредния кръг от зловредни пакети в Python Package Index (PyPI) с цел да доставят зловреден софтуер за кражба на информация на компрометирани машини на разработчици.

Интересното е, че макар зловредният софтуер да носи различни имена като ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer и @skid Stealer, компанията за киберсигурност Phylum установи, че всички те са копия на W4SP Stealer.

W4SP Stealer функционира предимно за извличане на потребителски и идентификационни данни, портфейли с криптовалути, Discord токени и други файлове, представляващи интерес. Тя е създадена и публикувана от хакер, който се подвизава под псевдонимите BillyV3, BillyTheGoat и billythegoat356.

„По някаква причина всяко внедряване изглежда просто се е опитвало да направи намиране на препратките към W4SP в замяна на някакво друго привидно произволно име“, казват изследователите в доклад, публикуван по-рано тази седмица.

Шестнадесетте некоректни модула са следните: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy и proxybooster.

Кампанията за разпространение на W4SP Stealer набира сила около октомври 2022г., въпреки че има индикации, че може да е започнала още на 25 август 2022г. Оттогава насам в PyPI са публикувани десетки допълнителни фалшиви пакети, съдържащи W4SP Stealer, от изпвършителите на  постоянната заплаха.

Най-новата итерация на дейността, доколкото си заслужава, не прави нищо очевидно, за да скрие гнусните си намерения, освен в случая на chazz, който използва пакета, за да изтегли замаскиран зловреден софтуер Leaf $tealer, хостван в услугата за пействане klgrth[.]io.

Струва си да се отбележи, че предишни версии на веригите за атаки също са били забелязани да извличат следващ етап на Python код директно от публично хранилище на GitHub, който след това пуска крадеца на пълномощия.

Нарастването на броя на новите имитиращи варианти съвпада с премахването от GitHub на хранилището, в което се съхраняваше оригиналният изходен код на W4SP Stealer, което показва, че киберпрестъпниците, които вероятно не са свързани с операцията, също използват зловредния софтуер за атаки срещу потребители на PyPI.

„Екосистемите с отворен код като PyPI, NPM и други подобни са много лесни цели за този вид хакери, които могат да се опитат да разгърнат този вид зловреден софтуер“, казват изследователите. Опитите им само ще стават все по-чести, по-настойчиви и най-сложни.“

Фирмата за сигурност на веригата за доставки на софтуер, която следи канала на заплахата в Discord, отбеляза още, че преди това маркиран пакет под името pystyle е бил троянизиран от BillyTheGoat, за да разпространява крадеца.

Модулът не само е натрупал хиляди изтегляния всеки месец, но и е започнал като безобидна програма през септември 2021г., за да помогне на потребителите да стилизират конзолния изход. Зловредните модификации са въведени във версии 2.1 и 2.2, пуснати на 28 октомври 2022г.

Твърди се, че тези две версии, които са живели в PyPI около час, преди да бъдат изтеглени, са получили 400 изтегляния, казва BillyTheGoat пред Phylum в „непоискана кореспонденция“.

„Това, че даден пакет е доброкачествен днес и е показал история на доброкачественост в продължение на години, не означава, че той ще остане такъв“, предупреждават изследователите. „Извършителите са проявили огромно търпение в създаването на легитимни пакети, само за да ги отровят със зловреден софтуер, след като са станали достатъчно популярни.“

 

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
29/09/2024

Милиони автомобили на Kia с...

Купувачите на автомобили обикновено имат много...
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
22/03/2024

Хакерският екип "Synacktiv"...

Инициативата Zero Day присъди общо 732...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!