Malware W4SP Stealer é descoberto em 29 pacotes PyPI maliciosos direcionados a desenvolvedores

Cuidado com 3 pacotes PyPI maliciosos direcionados ao Linux com criptomineradores
PyPI reduz ao máximo dados de endereço IP

Pesquisadores de cibersegurança descobriram 29 pacotes maliciosos no Python Package Index (PyPI), o repositório oficial de software de terceiros para a linguagem de programação Python. Os pacotes visam infectar as máquinas dos desenvolvedores com um malware chamado W4SP Stealer.

De acordo com a empresa de segurança da cadeia de suprimentos de software Phylum, em um relatório publicado esta semana: “O ataque principal parece ter começado por volta de 12 de outubro de 2022, lentamente ganhando força para um esforço concentrado por volta de 22 de outubro”.

Pacotes PyPI maliciosos

A lista de pacotes ofensivos é a seguinte: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algorítmica, oiu, iao, curlapi, type-color e pyhints.

Coletivamente, os pacotes foram baixados mais de 5.700 vezes, com algumas das bibliotecas (por exemplo, twyne e colorsama) contando com typosquatting para enganar usuários desavisados ??para baixá-los.

Além disso, os módulos fraudulentos redirecionam as bibliotecas legítimas existentes inserindo uma instrução de importação maliciosa no script “setup.py” dos pacotes para iniciar um pedaço de código Python que busca o malware de um servidor remoto.

W4SP Stealer

O W4SP Stealer, um trojan de código aberto baseado em Python, vem com recursos para furtar arquivos de interesse, senhas, cookies de navegador, metadados do sistema, tokens Discord, bem como dados das carteiras de criptomoedas MetaMask, Atomic e Exodus. Uma ameaça real que estava inserida em pacotes maliciosos, pronto para ser distribuído e fazer mais vítimas.

Esta não é a primeira vez que o W4SP Stealer é entregue através de pacotes aparentemente benignos no repositório PyPI. Em agosto, a Kaspersky descobriu duas bibliotecas chamadas pyquest e ultrarequests que foram encontradas para implantar o malware como uma carga útil final.

As descobertas ilustram o abuso contínuo de ecossistemas de código aberto para propagar pacotes maliciosos projetados para coletar informações confidenciais e abrir caminho para ataques à cadeia de suprimentos. Assim, a atenção deve ser redobrada ao usar essas bibliotecas. Por mais seguras que elas sejam, é preciso tomar ainda mais cuidado ao usá-las.

“Como este é um ataque contínuo com táticas em constante mudança de um invasor determinado, suspeitamos ver mais malwares como esse surgindo em um futuro próximo”, observou Phylum.

Esperamos que a segurança dessas bibliotecas sejam aumentadas, a fim de deixar os usuários longe dessas ameças, que têm sido constantes. Cuide da segurança online, para que não venha a ser vítima de armadilhas como esta.

Acesse a versão completa
Sair da versão mobile