Los actores de amenazas han publicado otra ronda de paquetes maliciosos en Python Package Index (PyPI) con el objetivo de entregar malware para robar información en máquinas de desarrolladores comprometidas.
Curiosamente, mientras que el malware tiene una variedad de nombres como ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer y @skid Stealer, la empresa de ciberseguridad Phylum descubrió que todos eran copias de W4SP Stealer.
W4SP Stealer funciona principalmente para desviar datos de usuarios, incluidas credenciales, billeteras de criptomonedas, tokens de Discord y otros archivos de interés. Es creado y publicado por un actor que usa los alias BillyV3, BillyTheGoat y billythegoat356.
«Por alguna razón, cada implementación parece haber intentado simplemente buscar/reemplazar las referencias de W4SP a cambio de algún otro nombre aparentemente arbitrario», dijeron los investigadores. dijo en un informe publicado a principios de esta semana.
Los 16 módulos no autorizados son los siguientes: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy y proxybooster.
La campaña que distribuye W4SP Stealer cobró impulso alrededor de octubre de 2022, aunque hay indicios de que puede haber comenzado ya el 25 de agosto de 2022. Desde entonces, docenas de paquetes falsos adicionales que contienen Ladrón de W4SP han sido publicados en PyPI por los actores de amenazas persistentes.
La última iteración de la actividad, por lo que vale, no hace evidente ocultar sus intenciones nefastas, excepto en el caso de chazz, que aprovecha el paquete para descargar el malware ofuscado Leaf $tealer alojado en klgrth.[.]servicio de pasta io.
Vale la pena señalar que las versiones anteriores de las cadenas de ataque también se detectaron obteniendo el código de Python de la siguiente etapa directamente de un repositorio público de GitHub que luego elimina el ladrón de credenciales.
El aumento de nuevas variantes de imitación encaja con el desmantelamiento del repositorio que contenía el código fuente original de W4SP Stealer por parte de GitHub, lo que indica que es probable que los ciberdelincuentes que no están afiliados a la operación también estén utilizando el malware como arma para atacar a los usuarios de PyPI.
«Los ecosistemas de código abierto como PyPI, NPM y similares son grandes objetivos fáciles para que este tipo de actores intenten implementar este tipo de malware», dijeron los investigadores. Sus intentos solo serán más frecuentes, más persistentes y más sofisticados».
La empresa de seguridad de la cadena de suministro de software, que pestañas mantenidas en el canal Discord del actor de amenazas, señaló además que un paquete previamente marcado con el nombre de pistilo fue troyanizado por BillyTheGoat para distribuir el ladrón.
El módulo no sólo ha traspasado miles de descargas cada mes, pero también comenzó como una utilidad inocua en septiembre de 2021 para ayudar a los usuarios a diseñar la salida de la consola. Las modificaciones maliciosas se introdujeron en las versiones 2.1 y 2.2 lanzadas el 28 de octubre de 2022.
Se alega que estas dos versiones, que estuvieron activas en PyPI durante aproximadamente una hora antes de que fueran retiradas, obtuvieron 400 descargas, dijo BillyTheGoat a Phylum en una «correspondencia no solicitada».
«El hecho de que un paquete sea benigno hoy y haya mostrado un historial de ser benigno durante años no significa que seguirá siendo así», dijeron los investigadores. advertido. «Los actores de amenazas han demostrado una enorme paciencia en la creación de paquetes legítimos, solo para envenenarlos con malware una vez que se han vuelto lo suficientemente populares».