Κακόβουλα πακέτα PyPi περιείχαν το W4SP Stealer malware: Προς μεγάλη έκπληξη των προγραμματιστών, αποκαλύφθηκαν πέντε κακόβουλα πακέτα στο Python Package Index (PyPI), τα οποία έκλεβαν κωδικούς πρόσβασης, cookies ελέγχου ταυτότητας Discord και πορτοφόλια κρυπτονομισμάτων.
Δείτε επίσης: Οι χάκερ της Βόρειας Κορέας στοχεύουν οργανισμούς υγειονομικής περίθαλψης με ransomware
Δείτε επίσης: DarkBit: Επίθεση ransomware στο Πανεπιστήμιο Technion
Το PyPI είναι ένα one-stop shop για όλα τα πακέτα λογισμικού Python, με 200.000 διαθέσιμες επιλογές! Οι πολυάσχολοι προγραμματιστές μπορούν να βρουν γρήγορα το τέλειο πακέτο που ταιριάζει στις ανάγκες του έργου τους. Αυτός ο ολοκληρωμένος πόρος εξοικονομεί χρόνο και ενέργεια κατά τον προγραμματισμό – επιτρέποντάς σας να επικεντρωθείτε σε άλλες σημαντικές εργασίες.
Από τις 27 έως τις 29 Ιανουαρίου 2023, ένας απειλητικός παράγοντας διέθεσε πέντε κακόβουλα πακέτα που φιλοξενούσαν το κακόβουλο λογισμικό “W4SP Stealer” για την κλοπή πληροφοριών μέσω του PyPi.
Αφού έχουν ήδη αποκτηθεί από εκατοντάδες προγραμματιστές λογισμικού, αυτά τα πέντε πακέτα έχουν αφαιρεθεί από τη διαθεσιμότητα. Αυτά τα πέντε πακέτα και τα στατιστικά στοιχεία λήψης τους είναι:
- 3m-promo-gen-api – 136 downloads
- Ai-Solver-gen – 132 downloads
- hypixel-coins – 116 downloads
- httpxrequesterv2 – 128 downloads
- httpxrequester – 134 downloads
Η πλειονότητα των λήψεων έγινε μέσα στις πρώτες δύο ημέρες μετά τη μεταφόρτωση αυτών των κακόβουλων πακέτων στο PyPI, γεγονός που παρέχει κίνητρο στους παραβάτες να επιχειρήσουν να μεταφορτώσουν πανομοιότυπο κώδικα μέσω νεοσύστατων λογαριασμών και νέων πακέτων, αν τους απαγορευτεί η πρόσβαση.
Δείτε επίσης: NameCheap email παραβιάστηκε για να στείλει phishing μηνύματα Metamask και DHL
Απόκρυψη ενός κακόβουλου προγράμματος κλοπής κωδικού πρόσβασης
Οι αναλυτές ασφαλείας της Fortinet ανακάλυψαν τα ύποπτα πακέτα και κατά την εγκατάστασή τους διαπίστωσαν ότι προσπαθούσαν να κλέψουν κωδικούς πρόσβασης που ήταν αποθηκευμένοι σε προγράμματα περιήγησης, cookies και πορτοφόλια κρυπτονομισμάτων.
Παρόλο που η Fortinet απέτυχε να παράσχει λεπτομέρειες σχετικά με τον τύπο του κακόβουλου λογισμικού, το BleepingComputer το αναγνώρισε ως W4SP Stealer.
Το W4SP Stealer malware ξεκινά με την αρπαγή δεδομένων από δημοφιλή προγράμματα περιήγησης στο διαδίκτυο, όπως ο Google Chrome, ο Opera, ο Brave Browser, ο Yandex Browser και o Microsoft Edge.
Στη συνέχεια, προσπαθεί να κλέψει cookies ελέγχου ταυτότητας από το Discord, το Public Test Build (PTB), την έκδοση Canary και τον πελάτη LightCord για κακόβουλη χρήση.
Εν κατακλείδι, το κακόβουλο λογισμικό θα προσπαθήσει να κλέψει τόσο τα πορτοφόλια κρυπτονομισμάτων Atomic Wallet και Exodus όσο και τα cookies για το διαδικτυακό παιχνίδι The Nations Glory – όπως φαίνεται παρακάτω.
Επιπλέον, το κακόβουλο λογισμικό αναζητά έναν κατάλογο ιστότοπων με κακόβουλες προθέσεις: να κλέψει τυχόν δεδομένα χρηστών και να κλέψει λογαριασμούς.
Συγκεκριμένα στοχεύει στους ακόλουθους ιστότοπους:
- Coinbase.com
- Gmail.com
- YouTube.com
- Instagram.com
- PayPal.com
- Telegram.com
- Hotmail.com
- Outlook.com
- Aliexpress.com
- ExpressVPN.com
- eBay.com
- Playstation.com
- xbox.com
- Netflix.com
- Uber.com
Αφού συγκεντρώσει όλα τα δεδομένα που βρίσκει στο παραβιασμένο μηχάνημα, το κακόβουλο λογισμικό χρησιμοποιεί τη λειτουργία «upload» του για να ανεβάσει τα κλεμμένα δεδομένα χρησιμοποιώντας ένα webhook Discord, το οποίο τα δημοσιεύει στον server του απειλητικού παράγοντα.
Τα webhooks του Discord χρησιμοποιούνται συχνά καταχρηστικά για την κακόβουλη απόκτηση αρχείων, tokens και άλλων δεδομένων από Discord servers.
Η Fortinet εντόπισε έναν αριθμό λειτουργιών που σάρωναν αρχεία για προκαθορισμένες λέξεις-κλειδιά που σχετίζονται με τραπεζικές συναλλαγές, κωδικούς πρόσβασης, PayPal, κρυπτονομίσματα και έλεγχο ταυτότητας πολλαπλών παραγόντων. Αφού ανακάλυψε αυτές τις λέξεις στα περιεχόμενα των αρχείων, επιχείρησε να τα μεταφέρει χρησιμοποιώντας την υπηρεσία “transfer.sh”.
Είναι ενδιαφέρον ότι μερικές από τις λέξεις-κλειδιά είναι στα γαλλικά, γεγονός που θα μπορούσε να υποδηλώνει ότι ο ένοχος μπορεί κάλλιστα να είναι από τη Γαλλία.
Καθώς τα αποθετήρια πακέτων, όπως τα PyPi και NPM, χρησιμοποιούνται πλέον συνήθως για τη διανομή κακόβουλου λογισμικού, οι προγραμματιστές πρέπει να αναλύσουν τον κώδικα σε πακέτα πριν τον προσθέσουν στα projects τους.
Εάν υπάρχει οποιοσδήποτε ασαφής κώδικας ή ασυνήθιστη συμπεριφορά στο πακέτο λήψης, δεν θα πρέπει να χρησιμοποιείται και να αναφέρεται στο αποθετήριο.
Πηγή πληροφοριών: bleepingcomputer.com
