Сотни разработчиков могут потерять криптовалюту из-за вредоносных пакетов PyPI

Сотни разработчиков могут потерять криптовалюту из-за вредоносных пакетов PyPI

5 заражённых пакетов содержат инфостилер W4SP Stealer.

image

Специалисты из ИБ-компании Fortinet в репозитории PyPI обнаружили 5 вредоносных пакетов, похищающих пароли, cookie-файлы аутентификации Discord и криптовалютные кошельки у ничего не подозревающих разработчиков.

PyPI — это программный репозиторий для пакетов, созданных на языке программирования Python. Поскольку индекс содержит 200 000 пакетов, он позволяет разработчикам находить существующие пакеты, которые удовлетворяют различным требованиям проекта, экономя время и силы.

В период с 27 по 29 января 2023 года злоумышленник загрузил в PyPi 5 вредоносных пакетов, содержащих инфостилер W4SP Stealer . Хотя с тех пор пакеты были удалены, их уже скачали сотни разработчиков ПО. Вот список вредоносных пакетов и их статистика загрузок:

  1. 3m-promo-gen-api – 136 загрузок;
  2. Ai-Solver-gen – 132 загрузки;
  3. hypixel-coins – 116 загрузок;
  4. httpxrequesterv2 — 128 загрузок;
  5. httpxrequester — 134 загрузки.

Вредоносные пакеты PyPI

Подавляющее большинство этих загрузок произошло в первые пару дней после первоначальной загрузки пакетов, что побуждает киберпреступников загрузить тот же код в PyPI через новые пакеты и через новые учетные записи, когда блокируют старые.

W4SP Stealer крадёт следующие данные:

  • данные из веб-браузеров Google Chrome, Opera, Brave Browser, Yandex Browser и Microsoft Edge;
  • cookie-файлы аутентификации из Discord, Discord PTB, Discord Canary и клиента LightCord;
  • криптовалютные кошельки Atomic Wallet и Exodus;
  • cookie-файлы для онлайн-игры The Nations Glory.

Кроме того, W4SP Stealer нацелен на список определённых веб-сайтов, пытаясь получить конфиденциальную информацию о пользователе, которая может помочь хакеру украсть учетные записи жертвы.

Список сайтов, на которые нацелен W4SP Stealer

После сбора всех данных вредоносное ПО загружает их с помощью веб-перехватчика Discord (Discord webhooks), который отправляет их на сервер злоумышленника. Веб-перехватчики Discord позволяют пользователям отправлять сообщения с вложениями на сервер Discord и обычно используются для кражи файлов, токенов Discord и другой информации.

Fortinet также заметила наличие функций, которые проверяют файлы по определенным ключевым словам и пытаются украсть их с помощью службы передачи файлов «transfer.sh». Ключевые слова относятся к банковским операциям, паролям, PayPal, криптовалюте и файлам многофакторной аутентификации.

Особый интерес представляет то, что некоторые ключевые слова написаны на французском языке, что указывает на то, что злоумышленник может быть из Франции.

Список ключевых слов

Поскольку репозитории пакетов, такие как PyPi и NPM, в настоящее время широко используются для распространения вредоносных программ, разработчики должны анализировать код в пакетах, прежде чем добавлять их в свои проекты. Если в загруженном пакете присутствует какой-либо запутанный код или необычное поведение, его не следует использовать, а вместо этого сообщить об этом в репозиторий.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!