14/02/23
Специалисты из ИБ-компании Fortinet в репозитории PyPI обнаружили 5 вредоносных пакетов, похищающих пароли, cookie-файлы аутентификации Discord и криптовалютные кошельки у ничего не подозревающих разработчиков.
PyPI — это программный репозиторий для пакетов, созданных на языке программирования Python, поясняет Securitylab. Поскольку индекс содержит 200 000 пакетов, он позволяет разработчикам находить существующие пакеты, которые удовлетворяют различным требованиям проекта, экономя время и силы.
В период с 27 по 29 января 2023 года злоумышленник загрузил в PyPi 5 вредоносных пакетов, содержащих инфостилер W4SP Stealer . Хотя с тех пор пакеты были удалены, их уже скачали сотни разработчиков ПО. Вот список вредоносных пакетов и их статистика загрузок:
- 3m-promo-gen-api – 136 загрузок;
- Ai-Solver-gen – 132 загрузки;
- hypixel-coins – 116 загрузок;
- httpxrequesterv2 — 128 загрузок;
- httpxrequester — 134 загрузки.
Подавляющее большинство этих загрузок произошло в первые пару дней после первоначальной загрузки пакетов, что побуждает киберпреступников загрузить тот же код в PyPI через новые пакеты и через новые учетные записи, когда блокируют старые.
W4SP Stealer крадёт следующие данные:
- данные из веб-браузеров Google Chrome, Opera, Brave Browser, Yandex Browser и Microsoft Edge;
- cookie-файлы аутентификации из Discord, Discord PTB, Discord Canary и клиента LightCord;
- криптовалютные кошельки Atomic Wallet и Exodus;
- cookie-файлы для онлайн-игры The Nations Glory.
Кроме того, W4SP Stealer нацелен на список определённых веб-сайтов, пытаясь получить конфиденциальную информацию о пользователе, которая может помочь хакеру украсть учетные записи жертвы.
После сбора всех данных вредоносное ПО загружает их с помощью веб-перехватчика Discord (Discord webhooks), который отправляет их на сервер злоумышленника. Веб-перехватчики Discord позволяют пользователям отправлять сообщения с вложениями на сервер Discord и обычно используются для кражи файлов, токенов Discord и другой информации.
Fortinet также заметила наличие функций, которые проверяют файлы по определенным ключевым словам и пытаются украсть их с помощью службы передачи файлов «transfer.sh». Ключевые слова относятся к банковским операциям, паролям, PayPal, криптовалюте и файлам многофакторной аутентификации.
Особый интерес представляет то, что некоторые ключевые слова написаны на французском языке, что указывает на то, что злоумышленник может быть из Франции.
Поскольку репозитории пакетов, такие как PyPi и NPM, в настоящее время широко используются для распространения вредоносных программ, разработчики должны анализировать код в пакетах, прежде чем добавлять их в свои проекты. Если в загруженном пакете присутствует какой-либо запутанный код или необычное поведение, его не следует использовать, а вместо этого сообщить об этом в репозиторий.
