Se encontró W4SP Stealer en el índice de PyPi, amenazando billeteras de criptomonedas y contraseñas de navegadores

Un actor de amenazas subió cinco paquetes maliciosos que contenían malware de robo de información ‘W4SP Stealer’ al Índice de Paquetes de Python (PyPi Index) del 27 de enero al 29 de enero de 2023.

Los investigadores de seguridad de la firma de seguridad Fortinet descubrieron cinco paquetes maliciosos que, una vez instalados, comenzaron a robar billeteras de criptomonedas, cookies de autenticación de Discord y contraseñas guardadas en los navegadores.

Ahora, para aquellos que no lo saben, PyPi es un repositorio de software creado para paquetes del lenguaje Python, y puede contener hasta 200,000 paquetes que ayudan a los desarrolladores a encontrar los paquetes existentes para los requisitos de sus proyectos.

Ahora, aunque los cinco paquetes maliciosos han sido eliminados, ya han sido descargados por cientos de desarrolladores. No obstante, estos fueron los cinco paquetes maliciosos.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Bueno, la mayoría de estos paquetes maliciosos fueron descargados por los desarrolladores en los primeros días, lo que motivó a los actores de amenazas a subir el mismo código al índice de PyPi a través de nuevos paquetes y nuevas cuentas cada vez que son prohibidos.

La firma de seguridad no pudo identificar el tipo de robo de información, aunque según un informe, es el malware de robo de información de W4SP Stealer.

Leer: Actores de amenazas rusos apuntan a criptomonedas con malware Enigma

Como mencionamos anteriormente, el malware de robo de información roba información de navegadores web como Opera, Brave, Yandex, Microsoft Edge y más. Después de eso, intenta robar cookies de autenticación de Discord, Discord Canary, cliente Lightcord y Discord PTB.

Al final, el malware intenta robar la billetera Atomic, billeteras de criptomonedas Exodus y las cookies para Nations Glory, un juego en línea.

Además, el malware de robo de información también apunta a una variedad de sitios web tratando de recuperar información sensible del usuario que eventualmente ayudará al actor de amenazas a robar cuentas. Estas son listas de los sitios web objetivo.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Ahora, después de recopilar todos los datos de la computadora infectada, el malware luego sube los datos robados utilizando los webhooks de Discord y luego los publica en el servidor del actor de amenazas.

Bueno, los Webhooks de Discord permiten a los usuarios enviar mensajes que contienen archivos a un servidor de Discord, y esta función es explotada en gran medida para robar tokens, contraseñas y más.

La firma de seguridad también notó la existencia de una función que verifica archivos en busca de palabras clave particulares, y si las detecta, intenta robarlas utilizando la herramienta de transferencia de archivos transfer.sh y en cuanto a las palabras clave que se relacionan con PayPal, criptomonedas, banca, contraseñas y más.

Además, algunas de las palabras clave utilizadas por el actor de amenazas están en francés, lo que indica que el actor de amenazas podría ser de Francia.

Hoy en día, los repositorios de paquetes como el Índice de Paquetes de Python y el Administrador de Paquetes de Node se utilizan para distribuir malware, por lo que se recomienda escanear los paquetes antes de descargarlos.

Leer: Nueva variante de troyano Royal descubierta, apunta a máquinas virtuales VMware ESXi