W4SP 스틸러가 PyPi 인덱스에서 발견되어 암호화폐 지갑 및 브라우저 비밀번호 위협

2023년 1월 27일부터 1월 29일 사이에 위협 행위자가 Python 패키지 인덱스(PyPi 인덱스)에 ‘W4SP 스틸러’ 정보 유출 악성코드를 포함한 다섯 개의 악성 패키지를 업로드했습니다.

보안 회사 Fortinet의 보안 연구원들은 설치되면 암호화폐 지갑, Discord 인증 쿠키 및 브라우저에 저장된 비밀번호를 훔치기 시작하는 다섯 개의 악성 패키지를 발견했습니다.

PyPi는 Python 언어 패키지를 위한 소프트웨어 저장소로, 개발자들이 프로젝트 요구 사항에 맞는 기존 패키지를 찾는 데 도움을 주는 최대 200,000개의 패키지를 포함할 수 있습니다.

다섯 개의 악성 패키지는 제거되었지만, 이미 수백 명의 개발자에 의해 다운로드되었습니다. 그럼에도 불구하고, 이들은 다음과 같은 다섯 개의 악성 패키지였습니다.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

대부분의 악성 패키지는 초기 며칠 동안 개발자들에 의해 다운로드되었으며, 이는 위협 행위자들이 새로운 패키지와 새로운 계정을 통해 PyPi 인덱스에 동일한 코드를 업로드하도록 동기를 부여했습니다.

보안 회사는 정보 유출의 유형을 식별할 수 없었지만, 보고서에 따르면 이는 W4SP 스틸러의 정보 유출 악성코드입니다.

읽기: 러시아 위협 행위자들이 Enigma 악성코드로 암호화폐를 타겟팅

위에서 언급했듯이, 정보 유출 악성코드는 Opera, Brave 브라우저, Yandex 브라우저, Microsoft Edge 등과 같은 웹 브라우저에서 정보를 훔칩니다. 그 후, Discord, Discord Canary, Lightcord 클라이언트 및 Discord PTB에서 인증 쿠키를 훔치려고 시도합니다.

결국, 악성코드는 Atomic 지갑, Exodus 암호화폐 지갑 및 온라인 게임 Nations Glory의 쿠키를 훔치려고 시도합니다.

더욱이, 정보 유출 악성코드는 다양한 웹사이트를 타겟팅하여 민감한 사용자 정보를 검색하려고 하며, 이는 궁극적으로 위협 행위자가 계정을 훔치는 데 도움이 됩니다. 다음은 타겟팅된 웹사이트 목록입니다.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

감염된 컴퓨터에서 모든 데이터를 수집한 후, 악성코드는 Discord 웹후크를 사용하여 훔친 데이터를 업로드하고 이를 위협 행위자 서버에 게시합니다.

Discord 웹후크는 사용자가 파일을 포함한 메시지를 Discord 서버로 보낼 수 있도록 하며, 이 기능은 토큰, 비밀번호 등을 훔치는 데 악용됩니다.

보안 회사는 특정 키워드에 대해 파일을 검사하는 기능의 존재도 발견했으며, 이를 감지하면 transfer.sh 파일 전송 도구를 사용하여 훔치려고 시도합니다. PayPal, 암호화폐, 은행, 비밀번호 등과 관련된 키워드가 포함되어 있습니다.

또한, 위협 행위자가 사용하는 일부 키워드는 프랑스어로 되어 있어, 위협 행위자가 프랑스 출신일 가능성을 나타냅니다.

요즘 Python 패키지 인덱스 및 Node 패키지 관리와 같은 패키지 저장소는 악성코드를 배포하는 데 사용되므로, 다운로드하기 전에 패키지를 스캔하는 것이 좋습니다.

읽기: 새로운 로열 트로이안 변종 발견, VMware ESXi 가상 머신을 타겟팅