Новости Осы жалят пользователей репозиториев PyPI

[NewsMaker]

Злоумышленники заражают десятки пакетов инфостилерами, написанными на основе W4SP.​

---

---

Две недели назад исследовательская группа Phylum Для просмотра ссылки Войди или Зарегистрируйся , что в репозитории PyPI есть набор из 47 пакетов, заражающих своих жертв инфостилером W4SP. К счастью, эта вредоносная кампания была быстро остановлена после того, как GitHub отключил репозиторий, используемый хакерами для получения полезной нагрузки.

Однако, совсем недавно Phylum Для просмотра ссылки Войди или Зарегистрируйся 16 новых пакетов PyPI, распространяющих десять различных инфостилеров (например, Celestial Stealer, ANGEL stealer, Satan Stealer, @skid Stealer и Leaf $tealer), написанных на основе Для просмотра ссылки Войди или Зарегистрируйся .

Список вредоносных пакетов, обнаруженных исследователями:

• modulesecurity – 114 загрузок;
• informmodule – 110 загрузок;
• chazz – 118 загрузок;
• randomtime – 118 загрузок;
• proxygeneratorbil – 91 загрузка;
• easycordey –122 загрузки;
• easycordeyy – 103 загрузки;
• tomproxies – 150 загрузок;
• sys-ej – 186 загрузок;
• py4sync – 453 загрузки;
• infosys – 191 загрузка;
• sysuptoer – 186 загрузок;
• nowsys – 202 загрузки;
• upamonkws – 205 загрузок;
• captchaboy – 123 загрузки;
• proxybooster – 69 загрузок.

Из всех вышеперечисленных пакетов только chazz следует сложной цепочке атак W4SP, включающей несколько этапов и обфускацию кода. Вместо этого они помещают код Для просмотра ссылки Войди или Зарегистрируйся напрямую в "main.py" или" _init_.py".

Chazz, в свою очередь, подбрасывает копию инфостилера Leaf $tealer и обфусцирует код с помощью инструмента BlankOBF.

Все новые вредоносы повторяют тактику W4SP, загружая полезную нагрузку с репозиториев GitHub. Пока неясно, кто стоит за распространением вредоносных пакетов, но Phylum предполагает, что это дело рук разных хакерских группировок.