5 заражённых пакетов содержат инфостилер W4SP Stealer.
Специалисты из ИБ-компании Fortinet в репозитории PyPI обнаружили 5 вредоносных пакетов, похищающих пароли, cookie-файлы аутентификации Discord и криптовалютные кошельки у ничего не подозревающих разработчиков.
PyPI — это программный репозиторий для пакетов, созданных на языке программирования Python. Поскольку индекс содержит 200 000 пакетов, он позволяет разработчикам находить существующие пакеты, которые удовлетворяют различным требованиям проекта, экономя время и силы.
В период с 27 по 29 января 2023 года злоумышленник загрузил в PyPi 5 вредоносных пакетов, содержащих инфостилер W4SP Stealer . Хотя с тех пор пакеты были удалены, их уже скачали сотни разработчиков ПО. Вот список вредоносных пакетов и их статистика загрузок:<ol style="list-style-type: decimal"><li>3m-promo-gen-api – 136 загрузок;</li>
<li>Ai-Solver-gen – 132 загрузки;</li>
<li>hypixel-coins – 116 загрузок;</li>
<li>httpxrequesterv2 — 128 загрузок;</li>
<li>httpxrequester — 134 загрузки.</li>
</ol>https://www.securitylab.ru/upload/me...qaf0yxbqd0.png
Вредоносные пакеты PyPI
Подавляющее большинство этих загрузок произошло в первые пару дней после первоначальной загрузки пакетов, что побуждает киберпреступников загрузить тот же код в PyPI через новые пакеты и через новые учетные записи, когда блокируют старые.
W4SP Stealer крадёт следующие данные:<ul><li>данные из веб-браузеров Google Chrome, Opera, Brave Browser, Yandex Browser и Microsoft Edge;</li>
</ul><ul><li>cookie-файлы аутентификации из Discord, Discord PTB, Discord Canary и клиента LightCord;</li>
</ul><ul><li>криптовалютные кошельки Atomic Wallet и Exodus;</li>
</ul><ul><li>cookie-файлы для онлайн-игры The Nations Glory.</li>
</ul>Кроме того, W4SP Stealer нацелен на список определённых веб-сайтов, пытаясь получить конфиденциальную информацию о пользователе, которая может помочь хакеру украсть учетные записи жертвы.
https://www.securitylab.ru/upload/me...gixokl7gjc.png
Список сайтов, на которые нацелен W4SP Stealer
После сбора всех данных вредоносное ПО загружает их с помощью веб-перехватчика Discord (Discord webhooks), который отправляет их на сервер злоумышленника. Веб-перехватчики Discord позволяют пользователям отправлять сообщения с вложениями на сервер Discord и обычно используются для кражи файлов, токенов Discord и другой информации.
Fortinet также заметила наличие функций, которые проверяют файлы по определенным ключевым словам и пытаются украсть их с помощью службы передачи файлов «transfer.sh». Ключевые слова относятся к банковским операциям, паролям, PayPal, криптовалюте и файлам многофакторной аутентификации.
Особый интерес представляет то, что некоторые ключевые слова написаны на французском языке, что указывает на то, что злоумышленник может быть из Франции.
https://www.securitylab.ru/upload/me...s60e7d918v.png
Список ключевых слов
Поскольку репозитории пакетов, такие как PyPi и NPM, в настоящее время широко используются для распространения вредоносных программ, разработчики должны анализировать код в пакетах, прежде чем добавлять их в свои проекты. Если в загруженном пакете присутствует какой-либо запутанный код или необычное поведение, его не следует использовать, а вместо этого сообщить об этом в репозиторий.