Investigadores de ciberseguridad han descubierto 29 paquetes en Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación Python, cuyo objetivo es infectar las máquinas de los desarrolladores con un malware llamado Ladrón de W4SP.
“El ataque principal parece haber comenzado alrededor del 12 de octubre de 2022, y lentamente se convirtió en un esfuerzo concentrado alrededor del 22 de octubre”, dijo la empresa de seguridad de la cadena de suministro de software Phylum. dijo en un informe publicado esta semana.
La lista de paquetes infractores es la siguiente: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, request-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algorítmica, oiu, iao, curlapi, type-color y pyhints.
En conjunto, los paquetes se han descargado más de 5.700 veces, y algunas de las bibliotecas (por ejemplo, twyne y colorsama) confían en typosquatting para engañar a los usuarios desprevenidos para que los descarguen.
Los módulos fraudulentos reutilizan las bibliotecas legítimas existentes mediante la inserción de un malicioso declaración de importación en el script packages”https://thehackernews.com/2022/11/”setup.py” para iniciar una pieza de código Python que recupera el malware de un servidor remoto.
Ladrón de W4SPun troyano de código abierto basado en Python, viene con capacidades para robar archivos de interés, contraseñas, cookies del navegador, metadatos del sistema, tokens de Discord, así como datos de las billeteras criptográficas MetaMask, Atomic y Exodus.
Esta no es la primera vez que W4SP Stealer se entrega a través de paquetes aparentemente benignos en el repositorio de PyPI. En agosto, Kaspersky descubierto dos bibliotecas llamadas pyquest y ultrarequests que se encontraron para implementar el malware como carga útil final.
Los hallazgos ilustran la continuación abuso de fuente abierta ecosistemas para propagar paquetes maliciosos que están diseñados para recopilar información confidencial y dar paso a ataques a la cadena de suministro.
“Como se trata de un ataque en curso con tácticas que cambian constantemente por parte de un atacante determinado, sospechamos que aparecerá más malware como este en un futuro próximo”, señaló Phylum.