Los actores de amenazas han publicado otra ronda de paquetes maliciosos en Python Package Index (PyPI) con el objetivo de entregar malware para robar informaci\u00f3n en m\u00e1quinas de desarrolladores comprometidas.<\/p>\n
Curiosamente, mientras que el malware tiene una variedad de nombres como ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer y @skid Stealer, la empresa de ciberseguridad Phylum descubri\u00f3 que todos eran copias de W4SP Stealer.<\/p>\n
W4SP Stealer funciona principalmente para desviar datos de usuarios, incluidas credenciales, billeteras de criptomonedas, tokens de Discord y otros archivos de inter\u00e9s. Es creado y publicado por un actor que usa los alias BillyV3, BillyTheGoat y billythegoat356.<\/p>\n
“Por alguna raz\u00f3n, cada implementaci\u00f3n parece haber intentado simplemente buscar\/reemplazar las referencias de W4SP a cambio de alg\u00fan otro nombre aparentemente arbitrario”, dijeron los investigadores. dijo<\/a> en un informe publicado a principios de esta semana.<\/p>\n Los 16 m\u00f3dulos no autorizados son los siguientes: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy y proxybooster.<\/p>\n La campa\u00f1a que distribuye W4SP Stealer cobr\u00f3 impulso alrededor de octubre de 2022, aunque hay indicios de que puede haber comenzado ya el 25 de agosto de 2022. Desde entonces, docenas de paquetes falsos adicionales que contienen Ladr\u00f3n de W4SP<\/a> han sido publicados en PyPI por los actores de amenazas persistentes.<\/p>\n La \u00faltima iteraci\u00f3n de la actividad, por lo que vale, no hace evidente ocultar sus intenciones nefastas, excepto en el caso de chazz, que aprovecha el paquete para descargar el malware ofuscado Leaf $tealer alojado en klgrth.[.]servicio de pasta io.<\/p>\n Vale la pena se\u00f1alar que las versiones anteriores de las cadenas de ataque tambi\u00e9n se detectaron obteniendo el c\u00f3digo de Python de la siguiente etapa directamente de un repositorio p\u00fablico de GitHub que luego elimina el ladr\u00f3n de credenciales.<\/p>\n El aumento de nuevas variantes de imitaci\u00f3n encaja con el desmantelamiento del repositorio que conten\u00eda el c\u00f3digo fuente original de W4SP Stealer por parte de GitHub, lo que indica que es probable que los ciberdelincuentes que no est\u00e1n afiliados a la operaci\u00f3n tambi\u00e9n est\u00e9n utilizando el malware como arma para atacar a los usuarios de PyPI.<\/p>\n “Los ecosistemas de c\u00f3digo abierto como PyPI, NPM y similares son grandes objetivos f\u00e1ciles para que este tipo de actores intenten implementar este tipo de malware”, dijeron los investigadores. Sus intentos solo ser\u00e1n m\u00e1s frecuentes, m\u00e1s persistentes y m\u00e1s sofisticados”.<\/p>\n La empresa de seguridad de la cadena de suministro de software, que pesta\u00f1as mantenidas<\/a> en el canal Discord del actor de amenazas, se\u00f1al\u00f3 adem\u00e1s que un paquete previamente marcado con el nombre de pistilo<\/a> fue troyanizado por BillyTheGoat para distribuir el ladr\u00f3n.<\/p>\n El m\u00f3dulo no s\u00f3lo ha traspasado miles de descargas<\/a> cada mes, pero tambi\u00e9n comenz\u00f3 como una utilidad inocua en septiembre de 2021 para ayudar a los usuarios a dise\u00f1ar la salida de la consola. Las modificaciones maliciosas se introdujeron en las versiones 2.1 y 2.2 lanzadas el 28 de octubre de 2022.<\/p>\n Se alega que estas dos versiones, que estuvieron activas en PyPI durante aproximadamente una hora antes de que fueran retiradas, obtuvieron 400 descargas, dijo BillyTheGoat a Phylum en una “correspondencia no solicitada”.<\/p>\n “El hecho de que un paquete sea benigno hoy y haya mostrado un historial de ser benigno durante a\u00f1os no significa que seguir\u00e1 siendo as\u00ed”, dijeron los investigadores. advertido<\/a>. “Los actores de amenazas han demostrado una enorme paciencia en la creaci\u00f3n de paquetes leg\u00edtimos, solo para envenenarlos con malware una vez que se han vuelto lo suficientemente populares”.<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\")
<\/a><\/center><\/div>\n