Исследователи кибербезопасности выявили вредоносные пакеты в репозитории Python Package Index (PyPI) с открытым исходным кодом, которые доставляют вредоносное ПО для кражи информации под названием WhiteSnake Stealer в системах Windows.
Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены субъектом угрозы по имени "WS".
"Эти пакеты содержат исходный код PE или других скриптов Python в кодировке Base64 в своих файлах setup.py", - сказал Fortinet FortiGuard Labs в анализе, опубликованном на прошлой неделе.
"В зависимости от операционной системы устройств-жертв, последняя вредоносная полезная нагрузка удаляется и выполняется при установке этих пакетов Python".
В то время как системы Windows заражены WhiteSnake Stealer, скомпрометированным хостам Linux предоставляется скрипт Python, предназначенный для сбора информации. Активность, нацеленная преимущественно на пользователей Windows, совпадает с предыдущей кампанией, которую JFrog и Checkmarx раскрыли в прошлом году.
"Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант [...] вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с C & C-сервером с использованием протокола Tor и способно красть информацию у жертвы и выполнять команды", - отметил JFrog в апреле 2023 года.
Оно также предназначено для сбора данных из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.
Checkmarx отслеживает субъекта угрозы, стоящего за кампанией под псевдонимом PYTA31, заявляя, что конечной целью является удаление конфиденциальных данных и, в частности, данных криптокошелька с целевых компьютеров.
Также были замечены некоторые из недавно опубликованных мошеннических пакетов, включающих функциональность clipper для перезаписи содержимого буфера обмена адресами кошельков, принадлежащих злоумышленнику, для выполнения несанкционированных транзакций. Несколько других программ были настроены для кражи данных из браузеров, приложений и криптосервисов.
Fortinet заявила, что находка "демонстрирует способность одного автора вредоносного ПО со временем распространять в библиотеке PyPI множество вредоносных пакетов, похищающих информацию, каждый из которых отличается различными особенностями полезной нагрузки".
Раскрытие происходит после того, как ReversingLabs обнаружила два вредоносных пакета в реестре пакетов npm, которые, как было обнаружено, используют GitHub для хранения SSH-ключей, зашифрованных Base64, украденных из систем разработчиков, на которых они были установлены.
Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены субъектом угрозы по имени "WS".
"Эти пакеты содержат исходный код PE или других скриптов Python в кодировке Base64 в своих файлах setup.py", - сказал Fortinet FortiGuard Labs в анализе, опубликованном на прошлой неделе.
"В зависимости от операционной системы устройств-жертв, последняя вредоносная полезная нагрузка удаляется и выполняется при установке этих пакетов Python".
В то время как системы Windows заражены WhiteSnake Stealer, скомпрометированным хостам Linux предоставляется скрипт Python, предназначенный для сбора информации. Активность, нацеленная преимущественно на пользователей Windows, совпадает с предыдущей кампанией, которую JFrog и Checkmarx раскрыли в прошлом году.
"Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант [...] вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с C & C-сервером с использованием протокола Tor и способно красть информацию у жертвы и выполнять команды", - отметил JFrog в апреле 2023 года.
Оно также предназначено для сбора данных из веб-браузеров, криптовалютных кошельков и таких приложений, как WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal и Telegram.
Checkmarx отслеживает субъекта угрозы, стоящего за кампанией под псевдонимом PYTA31, заявляя, что конечной целью является удаление конфиденциальных данных и, в частности, данных криптокошелька с целевых компьютеров.
Также были замечены некоторые из недавно опубликованных мошеннических пакетов, включающих функциональность clipper для перезаписи содержимого буфера обмена адресами кошельков, принадлежащих злоумышленнику, для выполнения несанкционированных транзакций. Несколько других программ были настроены для кражи данных из браузеров, приложений и криптосервисов.
Fortinet заявила, что находка "демонстрирует способность одного автора вредоносного ПО со временем распространять в библиотеке PyPI множество вредоносных пакетов, похищающих информацию, каждый из которых отличается различными особенностями полезной нагрузки".
Раскрытие происходит после того, как ReversingLabs обнаружила два вредоносных пакета в реестре пакетов npm, которые, как было обнаружено, используют GitHub для хранения SSH-ключей, зашифрованных Base64, украденных из систем разработчиков, на которых они были установлены.
