Ataque de malware para roubo de informações em pacotes PyPI
Pesquisadores de segurança cibernética identificaram um novo malware de roubo de informações chamado WhiteSnake Stealer distribuído no repositório Python Package Index (PyPI) de código aberto.
Descrição
O malware é distribuído em pacotes maliciosos com nomes como nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends e TestLibs111. Esses pacotes foram carregados por um agente de ameaças chamado "WS".
Os pacotes incorporam código-fonte codificado em Base64 de PE ou outros scripts Python em seus arquivos setup.py. Dependendo do sistema operacional dos dispositivos vítimas, a carga maliciosa final é descartada e executada quando esses pacotes Python são instalados.
Impacto
A carga útil específica do Windows foi identificada como uma variante do malware WhiteSnake, que tem um mecanismo Anti-VM, se comunica com um servidor C&C usando o protocolo Tor e é capaz de roubar informações da vítima e executar comandos.
O malware também foi projetado para capturar dados de navegadores da web, carteiras de criptomoedas e aplicativos como WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal e Telegram.
Recomendações
A Checkmarx está rastreando o agente de ameaças por trás da campanha sob o nome PYTA31, afirmando que o objetivo final é exfiltrar dados confidenciais e particularmente de carteiras cripto das máquinas alvo.
Os pesquisadores recomendam que os desenvolvedores sejam cautelosos ao instalar pacotes do PyPI de fontes desconhecidas. Eles também recomendam que os usuários verifiquem as avaliações e classificações de pacotes antes de instalá-los.
Alguns dos pacotes recém-publicados também foram observados incorporando a funcionalidade clipper para substituir o conteúdo da área de transferência por endereços de carteira de propriedade do invasor para realizar transações não autorizadas. Alguns outros foram configurados para roubar dados de navegadores, aplicativos e serviços de criptografia.
A Fortinet disse que a descoberta "demonstra a capacidade de um único autor de malware de disseminar vários pacotes de malware de roubo de informações na biblioteca PyPI ao longo do tempo, cada um apresentando complexidades de carga útil distintas".
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.