Обнаружен W4SP Stealer в индексе PyPi, угрожающий криптовалютным кошелькам и паролям браузеров

Злоумышленник загрузил пять вредоносных пакетов, содержащих информацию о вредоносном ПО ‘W4SP Stealer’, в индекс Python Package Index (PyPi Index) с 27 по 29 января 2023 года.

Исследователи безопасности из компании Fortinet обнаружили пять вредоносных пакетов, которые после установки начали красть криптовалютные кошельки, аутентификационные куки Discord и пароли, сохраненные в браузерах.

Теперь для тех, кто не знает, PyPi — это репозиторий программного обеспечения, созданный для пакетов языка Python, и он может содержать до 200,000 пакетов, которые помогают разработчикам находить существующие пакеты для требований их проектов.

Хотя пять вредоносных пакетов были удалены, они уже были загружены сотнями разработчиков. Тем не менее, это были пять вредоносных пакетов.

Ai-Solver-gen  
hypixel-coins  
httpxrequesterv2  
Httprequester  
3m-promo-gen-api

Большинство из этих вредоносных пакетов были загружены разработчиками в первые дни, что побудило злоумышленников загружать тот же код в индекс PyPi через новые пакеты и новые аккаунты, когда их банили.

Безопасная компания не смогла определить тип кражи информации, хотя согласно отчету, это вредоносное ПО W4SP Stealer.

Читать: Российские злоумышленники нацеливаются на криптовалюту с помощью вредоносного ПО Enigma

Как мы упоминали выше, вредоносное ПО для кражи информации крадет данные из веб-браузеров, таких как Opera, Brave, Яндекс.Браузер, Microsoft Edge и других. После этого оно пытается украсть аутентификационные куки из Discord, Discord Canary, клиента Lightcord и Discord PTB.

В конце концов, вредоносное ПО пытается украсть кошелек Atomic, кошельки Exodus и куки для Nations Glory, онлайн-игры.

Кроме того, вредоносное ПО для кражи информации также нацеливается на различные веб-сайты, пытаясь получить конфиденциальную информацию пользователей, что в конечном итоге поможет злоумышленнику украсть аккаунты. Вот списки целевых веб-сайтов.

Paypal.com  
Youtube.com  
Outlook.com  
Hotmail.com  
AliExpress.com  
ExpressVPN.com  
Instagram.com  
eBay.com  
Telegram.com  
PlayStation.com  
Xbox.com  
Netflix.com  
Uber.com

Теперь, после сбора всех данных с зараженного компьютера, вредоносное ПО загружает украденные данные с помощью вебхуков Discord и затем отправляет их на сервер злоумышленника.

Вебхуки Discord позволяют пользователям отправлять сообщения, содержащие файлы, на сервер Discord, и эта функция широко используется для кражи токенов, паролей и многого другого.

Безопасная компания также заметила существование функции, которая проверяет файлы на наличие определенных ключевых слов, и если она их обнаруживает, пытается украсть их с помощью инструмента передачи файлов transfer.sh, а ключевые слова относятся к PayPal, криптовалюте, банковским операциям, паролям и многому другому.

Кроме того, некоторые ключевые слова, используемые злоумышленником, на французском языке, что указывает на то, что злоумышленник может быть из Франции.

В настоящее время репозитории пакетов, такие как индекс Python Package и Node Package Manager, используются для распространения вредоносного ПО, поэтому рекомендуется сканировать пакеты перед их загрузкой.

Читать: Обнаружен новый вариант трояна Royal, нацеленный на виртуальные машины VMware ESXi