Les chercheurs en cybersécurité ont identifié des packages malveillants sur le référentiel open source Python Package Index (PyPI) qui fournissent un logiciel malveillant volant des informations appelé Voleur de serpent blanc sur les systèmes Windows.
Les packages contenant des logiciels malveillants sont nommés nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends et TestLibs111. Ils ont été téléchargés par un acteur menaçant nommé « WS ».
« Ces packages intègrent le code source codé en Base64 de PE ou d’autres scripts Python dans leurs fichiers setup.py », Fortinet FortiGuard Labs dit dans une analyse publiée la semaine dernière.
« En fonction du système d’exploitation des appareils victimes, la charge utile malveillante finale est supprimée et exécutée lorsque ces packages Python sont installés. »
Alors que les systèmes Windows sont infectés par WhiteSnake Stealer, les hôtes Linux compromis reçoivent un script Python conçu pour récolter des informations. L’activité, qui cible principalement les utilisateurs de Windows, se superpose à un campagne précédente que JFrog et Checkmarx ont divulgué l’année dernière.
« La charge utile spécifique à Windows a été identifiée comme une variante du […] Le malware WhiteSnake, doté d’un mécanisme anti-VM, communique avec un serveur C&C en utilisant le protocole Tor et est capable de voler des informations à la victime et d’exécuter des commandes », JFrog noté en avril 2023.
Il est également conçu pour capturer les données des navigateurs Web, des portefeuilles de crypto-monnaie et des applications telles que WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal et Telegram.
Checkmarx traque l’acteur menaçant derrière la campagne sous le surnom PYTA31précisant que l’objectif final est d’exfiltrer les données sensibles, notamment celles des portefeuilles cryptographiques, des machines cibles.
Certains des packages malveillants récemment publiés ont également été observés intégrant une fonctionnalité de clipper pour écraser le contenu du presse-papiers par des adresses de portefeuille appartenant à des attaquants afin d’effectuer des transactions non autorisées. Quelques autres ont été configurés pour voler des données dans les navigateurs, les applications et les services de cryptographie.
Fortinet a déclaré que cette découverte « démontre la capacité d’un seul auteur de malware à diffuser de nombreux packages de logiciels malveillants voleurs d’informations dans la bibliothèque PyPI au fil du temps, chacun présentant des subtilités de charge utile distinctes ».
La divulgation intervient alors que ReversingLabs a découvert que deux packages malveillants dans le registre des packages npm exploitaient GitHub pour stocker les clés SSH cryptées en Base64 volées sur les systèmes de développement sur lesquels ils étaient installés.