Hackers visam o repositório PyPI com malwares de roubo de informação

O repositório PyPI está sendo bombardeado por uma onda de malware para roubo de informações.
Compartilhe

O repositório PyPI está sendo bombardeado por uma onda de malware para roubo de informações. Os agentes de ameaças estão escondendo esses malwares dentro de pacotes carregados na plataforma para lançar ataques à cadeia de suprimentos e roubar dados confidenciais dos desenvolvedores.

O que aconteceu?

Os pesquisadores compartilharam detalhes de uma nova campanha que foi usada para implantar novas variantes de ladrões por meio de pacotes PyPI para coletar dados de desenvolvedores de software.

  • Essas variantes de malware pegaram emprestado o código base do ladrão W4SP e foram descartadas com nomes diferentes, como Celestial Stealer, ANGEL stealer, Satan Stealer, @Skid Stealer e Leaf $tealer.
  • Os especialistas destacaram que 10 variantes diferentes de ladrões foram observadas sendo distribuídas por meio de 16 pacotes que foram baixados mais de cem vezes.
  • Alguns dos pacotes infectados foram modulesecurity, informodule, chazz, randomtime, easycordey, tomproxies, infosys, nowsys, captchaboy.

Não está claro se os clones de malware recém-descobertos são operados pelos mesmos agentes de ameaças por trás do W4SP, no entanto, acredita-se que os ataques sejam de grupos diferentes que tentam imitar campanhas anteriores.

W4SP sendo usado em ataques direcionados

  • Na semana passada, pesquisadores descobriram mais de duas dúzias de pacotes Python no registro PyPI empurrando o ladrão W4SP em computadores infectados.
  • Esses pacotes imitavam bibliotecas populares para ocultar sua identidade original e lançavam malware que exfiltrava tokens, cookies e senhas salvas do Discord.
  • Esses pacotes foram baixados mais de 5.700 vezes antes de serem removidos do repositório.

PyPI continua sendo um alvo lucrativo

  • Recentemente, um pacote malicioso mascarado como SentinelOne SDK foi carregado no repositório, como parte de uma campanha chamada SentinelSneak .
  • O pacote foi enviado junto com duas dúzias de versões usando nomes semelhantes, que lançaram um backdoor malicioso para acumular informações confidenciais, como credenciais, chaves SSH e dados de configuração de sistemas.
  • Em outro ataque, vários pacotes PyPI maliciosos foram usados ​​em uma campanha de typosquatting para lançar ataques DDoS contra servidores Counter-Strike.



O repositório também foi abusado em diferentes campanhas para derrubar criptomineradores em máquinas Linux e roubar credenciais da AWS dos sistemas.

linhas de fechamento

As descobertas mostram que os hackers percebem uma oportunidade para ataques ainda maiores visando repositórios de pacotes de código aberto. Os desenvolvedores e a segurança nas organizações precisam ter cuidado, pois os hackers continuarão a desenvolver suas táticas de ataque e usar nomes e contas diferentes para pacotes maliciosos para expandir esses tipos de ataques.