W4SPスティーラーがPyPiインデックスで発見され、暗号財布とブラウザのパスワードを脅かす

脅威アクターは、2023年1月27日から1月29日の間に、Pythonパッケージインデックス（PyPiインデックス）に「W4SPスティーラー」情報盗難マルウェアを含む5つの悪意のあるパッケージをアップロードしました。

セキュリティ企業Fortinetのセキュリティ研究者は、インストールされると暗号通貨ウォレット、Discord認証クッキー、およびブラウザに保存されたパスワードを盗み始める5つの悪意のあるパッケージを発見しました。

PyPiはPython言語パッケージ用のソフトウェアリポジトリであり、開発者がプロジェクトの要件に合った既存のパッケージを見つけるのに役立つ最大200,000のパッケージを保持できます。

5つの悪意のあるパッケージは削除されましたが、すでに数百人の開発者によってダウンロードされています。それでも、これらが5つの悪意のあるパッケージです。

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

これらの悪意のあるパッケージの大部分は、初期の数日間に開発者によってダウンロードされ、脅威アクターは新しいパッケージと新しいアカウントを介してPyPiインデックスに同じコードをアップロードすることを促しました。

セキュリティ企業は情報盗難のタイプを特定できませんでしたが、報告によると、これはW4SPスティーラーの情報盗難マルウェアです。

読む: ロシアの脅威アクターがエニグママルウェアで暗号通貨を標的に

上記のように、情報盗難マルウェアはOpera、Braveブラウザ、Yandexブラウザ、Microsoft Edgeなどのウェブブラウザから情報を盗みます。その後、Discord、Discord Canary、Lightcordクライアント、およびDiscord PTBから認証クッキーを盗もうとします。

最後に、マルウェアはAtomicウォレット、Exodus暗号通貨ウォレット、およびオンラインゲーム「Nations Glory」のクッキーを盗もうとします。

さらに、情報盗難マルウェアは、脅威アクターがアカウントを盗むのに役立つ敏感なユーザー情報を取得しようとするさまざまなウェブサイトを標的にしています。これらは標的にされたウェブサイトのリストです。

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

感染したコンピュータからすべてのデータを収集した後、マルウェアはDiscordウェブフックを使用して盗まれたデータをアップロードし、脅威アクターのサーバーに投稿します。

Discordウェブフックは、ユーザーがファイルを含むメッセージをDiscordサーバーに送信できるようにし、この機能はトークン、パスワードなどを盗むために悪用されています。

セキュリティ企業は、特定のキーワードをチェックする機能の存在も確認しました。これを検出すると、PayPal、暗号通貨、銀行、パスワードなどに関連するキーワードを使用して盗もうとします。

また、脅威アクターが使用するキーワードのいくつかはフランス語であり、脅威アクターがフランス出身である可能性を示しています。

現在、PythonパッケージインデックスやNodeパッケージマネージャーのようなパッケージリポジトリはマルウェアを配布するために使用されているため、ダウンロードする前にパッケージをスキャンすることをお勧めします。

読む: 新しいロイヤルトロイの木馬の亜種が発見され、VMware ESXi仮想マシンを標的に