Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio de código abierto Python Package Index (PyPI) que entregan un malware que roba información llamado Ladrón de serpientes blancas en sistemas Windows.
Los paquetes cargados de malware se denominan nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends y TestLibs111. Han sido subidos por un actor de amenazas llamado «WS».
«Estos paquetes incorporan código fuente codificado en Base64 de PE u otros scripts de Python dentro de sus archivos setup.py», Fortinet FortiGuard Labs dicho en un análisis publicado la semana pasada.
«Dependiendo del sistema operativo de los dispositivos de la víctima, la carga maliciosa final se descarta y se ejecuta cuando se instalan estos paquetes de Python».
Mientras que los sistemas Windows están infectados con WhiteSnake Stealer, los hosts Linux comprometidos reciben un script de Python diseñado para recopilar información. La actividad, que se dirige predominantemente a usuarios de Windows, se superpone con una campaña anterior que JFrog y Checkmarx revelaron el año pasado.
«La carga útil específica de Windows fue identificada como una variante del […] El malware WhiteSnake, que tiene un mecanismo Anti-VM, se comunica con un servidor C&C mediante el protocolo Tor y es capaz de robar información de la víctima y ejecutar comandos», JFrog anotado en abril de 2023.
También está diseñado para capturar datos de navegadores web, billeteras de criptomonedas y aplicaciones como WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal y Telegram.
Checkmarx está rastreando al actor de amenazas detrás de la campaña bajo el nombre PYTA31indicando que el objetivo final es exfiltrar datos confidenciales y particularmente de billeteras criptográficas de las máquinas de destino.
También se ha observado que algunos de los paquetes maliciosos publicados recientemente incorporan la funcionalidad de clipper para sobrescribir el contenido del portapapeles con direcciones de billetera propiedad del atacante para realizar transacciones no autorizadas. Algunos otros se han configurado para robar datos de navegadores, aplicaciones y servicios criptográficos.
Fortinet dijo que el hallazgo «demuestra la capacidad de un solo autor de malware para difundir numerosos paquetes de malware para robar información en la biblioteca PyPI a lo largo del tiempo, cada uno con distintas complejidades de carga útil».
La divulgación se produce cuando ReversingLabs descubrió que dos paquetes maliciosos en el registro de paquetes npm aprovechaban GitHub para almacenar claves SSH cifradas en Base64 robadas de los sistemas de desarrollador en los que estaban instaladas.