W4SP Stealer trouvé sur l'index PyPi, menaçant les portefeuilles crypto et les mots de passe du navigateur

Un acteur de menace a téléchargé cinq paquets malveillants contenant des logiciels malveillants de vol d’informations ‘W4SP Stealer’ sur l’index Python Package (PyPi Index) du 27 janvier au 29 janvier 2023.

Les chercheurs en sécurité de la société de sécurité Fortinet ont découvert cinq paquets malveillants qui, une fois installés, ont commencé à voler des portefeuilles de Cryptomonnaie, des cookies d’authentification Discord et des mots de passe enregistrés dans les navigateurs.

Pour ceux qui ne le savent pas, PyPi est un dépôt de logiciels conçu pour les paquets du langage Python, et il peut contenir jusqu’à 200 000 paquets qui aident les développeurs à trouver les paquets existants pour les besoins de leur projet.

Bien que les cinq paquets malveillants aient été supprimés, ils ont déjà été téléchargés par des centaines de développeurs. Néanmoins, voici les cinq paquets malveillants.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Eh bien, la majorité de ces paquets malveillants ont été téléchargés par les développeurs dans les premiers jours, ce qui a motivé les acteurs de menace à télécharger le même code sur l’index PyPi via de nouveaux paquets et de nouveaux comptes chaque fois qu’ils sont bannis.

La société de sécurité n’a pas pu identifier le type de vol d’informations bien qu’un rapport indique qu’il s’agit de logiciels malveillants de vol d’informations de W4SP Stealer.

Lire : Les acteurs de menace russes ciblent les cryptomonnaies avec le malware Enigma

Comme mentionné ci-dessus, le malware de vol d’informations vole des informations des navigateurs web comme Opera, Brave, Yandex, Microsoft Edge et plus. Après cela, il essaie de voler des cookies d’authentification de Discord, Discord Canary, Lightcord client et Discord PTB.

À la fin, le malware essaie de voler le portefeuille Atomic, les portefeuilles de cryptomonnaie Exodus et les cookies pour Nations Glory, un jeu en ligne.

De plus, le malware de vol d’informations cible également une variété de sites web essayant de récupérer des informations sensibles des utilisateurs, ce qui aidera finalement l’acteur de menace à voler des comptes. Voici des listes des sites web ciblés.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Après avoir collecté toutes les données de l’ordinateur infecté, le malware télécharge ensuite les données volées en utilisant les webhooks Discord et les publie sur le serveur de l’acteur de menace.

Eh bien, les Webhooks Discord permettent aux utilisateurs d’envoyer des messages contenant des fichiers à un serveur Discord, et cette fonctionnalité est fortement exploitée pour voler des jetons, des mots de passe, et plus encore.

La société de sécurité a également remarqué l’existence d’une fonction qui vérifie les fichiers pour des mots-clés particuliers, et si elle les détecte, elle essaie de les voler en utilisant l’outil de transfert de fichiers transfer.sh et en ce qui concerne les mots-clés liés à PayPal, aux cryptomonnaies, à la banque, aux mots de passe et plus.

De plus, certains des mots-clés utilisés par l’acteur de menace sont en langue française, indiquant que l’acteur de menace pourrait être originaire de France.

De nos jours, les dépôts de paquets comme l’index Python Package et le gestionnaire de paquets Node sont utilisés pour distribuer des logiciels malveillants, il est donc conseillé de scanner les paquets avant de les télécharger.

Lire : Nouvelle variante de Trojan Royal découverte, cible les machines virtuelles VMware ESXi