python-package-index:-29-pacchetti-maligni-|-sicurezza.net

Python Package Index: 29 pacchetti maligni | sicurezza.net

I ricercatori hanno scoperto 29 pacchetti nel Python Package Index (PyPI) che mirano a infettare le macchine con il malware W4SP Stealer.

Python Package Index: tutti i dettagli

Sono stati scoperti 29 pacchetti nel Python Package Index (PyPI), il repository ufficiale di software di terze parti per il linguaggio di programmazione Python. Il loro obiettivo sono le macchine degli sviluppatori, le quali vengono infettate con un malware chiamato W4SP Stealer.

La società di sicurezza della catena di fornitura del software Phylum in un rapporto, pubblicato in questa settimana, ha anche dichiarato che:

L’attacco principale sembra essere iniziato intorno al 12 ottobre 2022 e si è lentamente intensificato fino a concentrarsi intorno al 22 ottobre.

L’elenco dei pacchetti incriminati è il seguente: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color e pyhints.

Inoltre collettivamente, i pacchetti sono stati scaricati più di 5.700 volte, e alcune delle librerie (come per esempio twyne e colorsama) si basano sul typosquatting per ingannare gli utenti che le scaricano.

Il malware W4SP Stealer

I moduli fraudolenti, inoltre, riutilizzano librerie legittime esistenti inserendo una dichiarazione di importazione dannosa nello script “setup.py” dei pacchetti per lanciare un pezzo di codice Python che recupera il malware da un server remoto.

W4SP Stealer è un trojan open source basato su Python. Il malware è in grado di rubare:

  • file di interesse
  • password
  • cookie del browser
  • metadati di sistema
  • token Discord
  • dati dai portafogli crittografici MetaMask, Atomic ed Exodus

Non è la prima volta che W4SP Stealer viene distribuito attraverso pacchetti apparentemente innocui nel repository PyPI. Ad agosto, Kaspersky ha scoperto due librerie denominate pyquest e ultrarequests che sono state trovate per distribuire il malware come payload finale.

Le scoperte illustrano il continuo abuso degli ecosistemi open source per diffondere pacchetti dannosi. Questi ultimi sono progettati per raccogliere informazioni sensibili e fare spazio ad attacchi alla catena di approvvigionamento.

Phylum ha infine osservato che:

Poiché si tratta di un attacco continuo con tattiche in costante evoluzione da parte di un attaccante determinato, sospettiamo di vedere spuntare altri malware come questo nel prossimo futuro.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *