Команда Fortinet FortiGuard Labs обнаружила в репозитории Python Package Index (PyPI) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer.
Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены злоумышленником по имени «WS». Пакеты включают в свои файлы setup.py исходный код PE (Portable Executable) или других скриптов Python в кодировке Base64. Этот код активируется при установке пакетов на компьютерах пользователей.
На системах Windows вирус WhiteSnake Stealer крадет информацию, а на Linux-системах — запускает Python-скрипт для сбора данных. Атака в первую очередь направлена на пользователей Windows и связана с кампанией, о которой ранее сообщали JFrog и Checkmarx.
Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с сервером управления и контроля (Command and Control, C2) по протоколу Tor, а также способно красть информацию у жертвы и выполнять команды.
WhiteSnake Stealer также собирает данные из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.
Checkmarx приписывает кампанию субъекту угрозы под псевдонимом PYTA31, заявляя, что конечной целью злоумышленника является эксфильтрация конфиденциальных данных с целевых машин.
Некоторые из вредоносных пакетов включают в себя функцию клиппера, позволяющую заменять содержимое буфера обмена на адреса кошельков злоумышленников для осуществления несанкционированных транзакций. Другие пакеты нацелены на кражу данных из браузеров, приложений и криптосервисов.
Fortinet подчеркивает, что эта находка демонстрирует способность одного автора вредоносного ПО распространять множество пакетов для кражи информации в библиотеке PyPI, каждый из которых имеет свои уникальные особенности.
05-10-2025, 01:19 AM
Threaded Mode