Ha pasado un tiempo desde que escuchamos sobre malware escondidos en paquetes PyPI, pero los investigadores ahora han informado haber encontrado casi una docena acechando en el fuente abierta Repositorio de índice de paquetes de Python (PyPI).
Los investigadores de ciberseguridad de FortiGuard Labs de Fortinet encontraron nueve paquetes que entregaban WhiteSnake Stealer. Los paquetes se llaman nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends y TestLibs111. WhiteSnake es un ladrón de información de Windows, capaz de evitar programas antivirus y se comunica con el servidor C2 a través del protocolo Tor, explicaron los investigadores.
Su función principal es robar información de los puntos finales comprometidos y ejecutar varios comandos. La información que busca es principalmente datos de navegadores web, billeteras de criptomonedas y complementos de navegador, y aplicaciones importantes como Discord, Signal, Telegram y similares.
Ojos puestos en las criptomonedas
También se observó que algunos de los paquetes llevaban una versión más avanzada del malware que también viene con un monitor de portapapeles y una función de sobrescritura. Esta función está diseñada para ayudar en el robo de criptomonedas, ya que las personas que desean enviar sus tokens de una dirección a otra casi siempre copiarán y pegarán la dirección de recepción, en lugar de escribirla. Con este malware, los atacantes pueden reemplazar la dirección de la billetera copiada por una que les pertenezca, haciendo que la víctima envíe sus fondos a la dirección incorrecta.
PyPI es uno de los más grandes y populares del mundo. Pitón repositorios de paquetes. Como tal, es un objetivo frecuente de los actores de amenazas que principalmente hacen dos cosas: crear un paquete malicioso completamente nuevo o participar en errores tipográficos: crear un paquete similar a uno legítimo y nombrarlo casi exactamente igual. De esa forma, los desarrolladores pueden instalar por error el programa malicioso.
Se insta a los desarrolladores a estar atentos al utilizar PyPI y servicios similares y asegurarse siempre de descargar un paquete legítimo. Deben estar atentos a errores tipográficos extraños, números de descarga inconsistentes y reseñas de usuarios.
A través de Las noticias de los piratas informáticos