Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Злоумышленники заражают пакеты PYPI инфостилерами, написанными на основе W4SP

27/12/22

photo-1591735115730-4bf3a351cfe8

Две недели назад исследовательская группа Phylum сообщила, что в репозитории PyPI есть набор из 47 пакетов, заражающих своих жертв инфостилером W4SP, сообщают Securitylab. К счастью, эта вредоносная кампания была быстро остановлена после того, как GitHub отключил репозиторий, используемый хакерами для получения полезной нагрузки.

Однако, совсем недавно Phylum обнаружила 16 новых пакетов PyPI, распространяющих десять различных инфостилеров (например, Celestial Stealer, ANGEL stealer, Satan Stealer, @skid Stealer и Leaf $tealer), написанных на основе W4SP.

Список вредоносных пакетов, обнаруженных исследователями:

  • modulesecurity – 114 загрузок;
  • informmodule – 110 загрузок;
  • chazz – 118 загрузок;
  • randomtime – 118 загрузок;
  • proxygeneratorbil – 91 загрузка;
  • easycordey –122 загрузки;
  • easycordeyy – 103 загрузки;
  • tomproxies – 150 загрузок;
  • sys-ej – 186 загрузок;
  • py4sync – 453 загрузки;
  • infosys – 191 загрузка;
  • sysuptoer – 186 загрузок;
  • nowsys – 202 загрузки;
  • upamonkws – 205 загрузок;
  • captchaboy – 123 загрузки;
  • proxybooster – 69 загрузок.

Из всех вышеперечисленных пакетов только chazz следует сложной цепочке атак W4SP, включающей несколько этапов и обфускацию кода. Вместо этого они помещают код инфостилера напрямую в "main.py" или" _init_.py".

Chazz, в свою очередь, подбрасывает копию инфостилера Leaf $tealer и обфусцирует код с помощью инструмента BlankOBF.

Все новые вредоносы повторяют тактику W4SP, загружая полезную нагрузку с репозиториев GitHub. Пока неясно, кто стоит за распространением вредоносных пакетов, но Phylum предполагает, что это дело рук разных хакерских группировок.

Темы:ПреступленияGitHubинфостилерыPyPIPhylum
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...