W4SP Stealer auf PyPi Index gefunden, bedroht Krypto-Wallets & Browser-Passwörter

Ein Bedrohungsakteur hat vom 27. Januar bis 29. Januar 2023 fünf bösartige Pakete mit Malware zum Stehlen von Informationen namens ‚W4SP Stealer‘ im Python Package Index (PyPi Index) hochgeladen.

Die Sicherheitsforscher der Sicherheitsfirma Fortinet entdeckten fünf bösartige Pakete, die nach der Installation begannen, Kryptowährungs-Wallets, Discord-Authentifizierungscookies und in den Browsern gespeicherte Passwörter zu stehlen.

Für diejenigen, die es nicht wissen: PyPi ist ein Software-Repository für Python-Pakete und kann bis zu 200.000 Pakete enthalten, die Entwicklern helfen, die vorhandenen Pakete für die Anforderungen ihres Projekts zu finden.

Obwohl die fünf bösartigen Pakete entfernt wurden, wurden sie bereits von Hunderten von Entwicklern heruntergeladen. Dennoch waren dies die fünf bösartigen Pakete.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Die Mehrheit dieser bösartigen Pakete wurde in den ersten Tagen von den Entwicklern heruntergeladen, was die Bedrohungsakteure motivierte, denselben Code über neue Pakete und neue Konten erneut im PyPi-Index hochzuladen, wann immer sie gesperrt wurden.

Die Sicherheitsfirma konnte die Art des Informationsdiebstahls nicht identifizieren, obwohl laut einem Bericht die Malware des W4SP Stealers zum Stehlen von Informationen verwendet wird.

Lesen: Russische Bedrohungsakteure zielen mit Enigma-Malware auf Kryptowährungen ab

Wie oben erwähnt, stiehlt die Malware Informationen aus Webbrowsern wie Opera, Brave-Browser, Yandex-Browser, Microsoft Edge und mehr. Danach versucht sie, Authentifizierungscookies von Discord, Discord Canary, Lightcord-Client und dem Discord PTB zu stehlen.

Am Ende versucht die Malware, die Atomic Wallet, Exodus-Kryptowährungs-Wallets und die Cookies für Nations Glory, ein Online-Spiel, zu stehlen.

Darüber hinaus zielt die informationsstehlende Malware auch auf eine Vielzahl von Websites ab, um sensible Benutzerinformationen abzurufen, die dem Bedrohungsakteur letztendlich helfen, Konten zu stehlen. Dies sind Listen der angegriffenen Websites.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Nachdem alle Daten vom infizierten Computer gesammelt wurden, lädt die Malware die gestohlenen Daten über die Discord-Webhooks hoch und veröffentlicht sie dann auf dem Server des Bedrohungsakteurs.

Discord-Webhooks ermöglichen es Benutzern, Nachrichten zu senden, die Dateien an einen Discord-Server enthalten, und diese Funktion wird stark ausgenutzt, um Tokens, Passwörter und mehr zu stehlen.

Die Sicherheitsfirma stellte auch die Existenz einer Funktion fest, die Dateien auf bestimmte Schlüsselwörter überprüft, und wenn sie diese erkennt, versucht sie, sie mit dem Dateiübertragungstool transfer.sh zu stehlen, wobei die Schlüsselwörter, die sich auf PayPal, Kryptowährung, Bankwesen, Passwörter und mehr beziehen, verwendet werden.

Einige der vom Bedrohungsakteur verwendeten Schlüsselwörter sind auch in französischer Sprache, was darauf hindeutet, dass der Bedrohungsakteur möglicherweise aus Frankreich stammt.

Heutzutage werden Paket-Repositorys wie der Python Package Index und der Node Package Manager verwendet, um Malware zu verteilen, daher ist es ratsam, die Pakete vor dem Herunterladen zu scannen.

Lesen: Neue Royal-Trojaner-Variante entdeckt, zielt auf VMware ESXi-virtuelle Maschinen ab