21/11/22
Исследователи из ИБ-компании Checkmarx выяснили подробности продолжающейся атаки на цепочку поставок, которая использует вредоносные PyPI-пакеты для распространения вредоносного ПО W4SP Stealer, и на сегодняшний день жертвами злоумышленников стали более 100 жертв. Это передает Securitylab.
По словам эксперта Checkmarx Йоссефа Харуш, кибепреступник по-прежнему активен и выпускает новые вредоносные пакеты. Харуш назвал злоумышленника «WASP».
Эта кампания примечательна тем, что она использует стеганографию для извлечения полезной нагрузки W4SP Stealer, скрытой в файле изображения. Установка PyPI-пакета в конечном итоге приводит к заражению W4SP Stealer (также известного как WASP Stealer). Инфостилер предназначен для эксфильтрации в Discord Webhook учетных записей Discord, паролей, криптокошельков и других файлов.
15 ноября оператор WASP загрузил новые PyPI-библиотеки, использующие StarJacking — метод, при котором пакет публикуется с URL-адресом, который указывает на популярный репозиторий.
Анализ Checkmarx также выявил Discord-сервер злоумышленника, которым управляет пользователь по имени «Alpha.#0001», а также различные поддельные профили GitHub, предназначенные для заманивания разработчиков к загрузке вредоносного ПО.
Кроме того, на своем Discord-канале Alpha.#0001 рекламирует «полностью необнаруживаемый» пакет за $20, а также регулярно выпускает новые пакеты под разными именами, как только они удаляются из PyPI.
