Разработчики стали жертвами вредоносного ПО W4SP Stealer во вредоносных пакетах PyPi

Разработчики стали жертвами вредоносного ПО W4SP Stealer во вредоносных пакетах PyPi. Фото: Fortinet

PyPI — это программный репозиторий для пакетов, созданных на языке программирования Python. Поскольку индекс содержит 200 тыс. пакетов, он позволяет разработчикам находить существующие пакеты, которые удовлетворяют различным требованиям проекта, экономя время и усилия.

С 27 по 29 января 2023 года злоумышленник загрузил в PyPi пять вредоносных пакетов, содержащих вредоносное ПО для кражи информации W4SP Stealer.

Хотя с тех пор пакеты были удалены, их уже скачали сотни разработчиков программного обеспечения. 

Специалисты приводят список пакетов и статистику их загрузки:

1. 3m-promo-gen-api – 136 загрузок
2. Ai-Solver-gen – 132 загрузки
3. hypixel-coins – 116 загрузок
4. httpxrequesterv2 — 128 загрузок
5. httpxrequester — 134 загрузки

Обнаружено, что при их установке пакетов, зловред пытается украсть пароли, сохраненные в браузерах, файлы cookie и криптовалютные кошельки.

Исследователи Fortinet не определили тип вредоносного ПО для кражи информации, но BleepingComputer идентифицировал его, как W4SP Stealer, которым активно злоупотребляют в пакетах на PyPI .

Вредонос сначала крадет данные из веб-браузеров, таких как Google Chrome, Opera, Brave Browser, Yandex Browser и Microsoft Edge.

Затем он пытается украсть файлы cookie аутентификации из Discord, Discord PTB, Discord Canary и клиента LightCord.

Наконец, вредоносное ПО попытается завладеть контролем над криптовалютными кошельками Atomic Wallet и Exodus, а также файлы cookie для онлайн-игры The Nations Glory

Кроме того, вредоносное ПО нацелено на список веб-сайтов, пытаясь получить конфиденциальную информацию о пользователях, которая может помочь его оператору украсть учетные записи.

Некоторые из целевых сайтов включают в себя:

• Coinbase.com
• Gmail.com
• YouTube.com
• Instagram.com
• PayPal.com
• Telegram.com
• Hotmail.com
• Outlook.com
• Aliexpress.com
• ExpressVPN.com
• eBay.com
• Playstation.com
• xbox.com
• Netflix.com
• Uber.com

После сбора всех данных, зловред загружает их с помощью веб-перехватчика Discord, который отправляет их на сервер злоумышленника.

Веб-перехватчики Discord позволяют пользователям отправлять сообщения, содержащие файлы, на сервер Discord и обычно используются для кражи файлов, токенов Discord и другой информации.

Команда Fortinet также заметила наличие функций, которые проверяют файлы по определенным ключевым словам и, в случае обнаружения, пытаются украсть их с помощью службы передачи файлов «transfer.sh». Ключевые слова относятся к банковским операциям, паролям, PayPal, криптовалюте и файлам многофакторной аутентификации.

Особый интерес представляет то, что некоторые ключевые слова написаны на французском языке, что указывает на то, что злоумышленник может быть из Франции.

Поскольку репозитории пакетов, такие как PyPi и NPM, в настоящее время широко используются для распространения вредоносных программ, разработчики должны анализировать код в пакетах, прежде чем добавлять их в свои проекты.

Если в загруженном пакете присутствует какой-либо запутанный код или необычное поведение, его не следует использовать, а вместо этого сообщить об этом в репозиторий.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Хакеры взломали Reddit, чтобы украсть исходный код и внутренние данные.  
• Жертвы нового вымогателя Clop под Linux могут легко вернуть свои данные.
• Android 14 блокирует вредоносные программы от злоупотребления конфиденциальными разрешениями.