Злоумышленники заражают десятки пакетов инфостилерами, написанными на основе W4SP.
Две недели назад исследовательская группа Phylum сообщила , что в репозитории PyPI есть набор из 47 пакетов, заражающих своих жертв инфостилером W4SP. К счастью, эта вредоносная кампания была быстро остановлена после того, как GitHub отключил репозиторий, используемый хакерами для получения полезной нагрузки.
Однако, совсем недавно Phylum обнаружила 16 новых пакетов PyPI, распространяющих десять различных инфостилеров (например, Celestial Stealer, ANGEL stealer, Satan Stealer, @skid Stealer и Leaf $tealer), написанных на основе W4SP .
Список вредоносных пакетов, обнаруженных исследователями:
Из всех вышеперечисленных пакетов только chazz следует сложной цепочке атак W4SP, включающей несколько этапов и обфускацию кода. Вместо этого они помещают код инфостилера напрямую в "main.py" или" _init_.py".
Chazz, в свою очередь, подбрасывает копию инфостилера Leaf $tealer и обфусцирует код с помощью инструмента BlankOBF.
Все новые вредоносы повторяют тактику W4SP, загружая полезную нагрузку с репозиториев GitHub. Пока неясно, кто стоит за распространением вредоносных пакетов, но Phylum предполагает, что это дело рук разных хакерских группировок.
Спойлер: она начинается с подписки на наш канал