Attacco informatico

Sviluppatori presi di mira dal malware W4SP Stealer in pacchetti PyPi dannosi

By Philippe Ternision , on 5 Giugno 2023 - 4 minutes to read
hacker
Casa ' Notizie ' Attacco informatico ' Sviluppatori presi di mira dal malware W4SP Stealer in pacchetti PyPi dannosi
5/5 - (1 voto)

Cinq programmes malveillants ont été découverts sur le Python Package Index (PyPI), dérobant les portefeuilles de bitcoins, les cookies d’authentification Discord et les mots de passe de développeurs imprudents.

Les paquets écrits dans le langage de programmation Python se trouvent dans le dépôt de logiciels PyPI. Comme l’index contient 200 000 paquets, il permet aux développeurs d’identifier rapidement les paquets préexistants qui répondent aux divers besoins des projets.

Un acteur de la menace a téléchargé cinq paquets malveillants contenant le malware de vol d’informations connu sous le nom de “W4SP Stealer” sur PyPi entre le 27 et le 29 janvier 2023.

Bien que les fichiers aient déjà été mis en ligne, des centaines de développeurs de logiciels les ont déjà téléchargés. Voici les statistiques de téléchargement de ces cinq paquets :

  1. 3m-promo-gen-api – 136 téléchargements
  2. Ai-Solver-gen – 132 téléchargements
  3. hypixel-coins – 116 téléchargements
  4. httpxrequesterv2 – 128 téléchargements
  5. httpxrequester – 134 téléchargements
The malicious packages uploaded onto PyPI
Les paquets malveillants téléchargés sur PyPI (Fortinet)

Ces acteurs malveillants sont encouragés à essayer de télécharger le même code sur PyPI via de nouveaux paquets et un nouveau compte après avoir été bannis, car la grande majorité de ces téléchargements ont eu lieu au cours des premiers jours suivant le premier téléchargement des paquets.

Cacher un voleur de mot de passe

Les paquets ont été découverts par les experts en sécurité de Fortinet, qui ont observé qu’à l’installation, ils s’efforcent de voler les cookies des navigateurs, les portefeuilles de crypto-monnaies et les mots de passe qui y sont enregistrés.

Da scoprire  Una banda di ransomware si scusa e offre un decriptatore gratuito all'ospedale SickKids

Alors que BleepingComputer a identifié le virus comme étant W4SP Stealer, qui a été largement utilisé à mauvais escient dans des paquets sur PyPI, Fortinet n’a pas précisé le type spécifique de malware voleur d’informations.

Le malware collecte d’abord des informations à partir de navigateurs en ligne comme Microsoft Edge, Brave, Yandex et Google Chrome.

Il s’efforce ensuite de collecter les cookies d’authentification du client LightCord, de Discord, de Discord PTB et de Discord Canary.

Enfin, le logiciel malveillant tente de voler les cookies et les portefeuilles de crypto-monnaies du jeu en ligne The Nations Glory, d’Atomic Wallet et d’Exodus, comme illustré ci-dessous.

The GatherAll function
La fonction “GatherAll” (Fortinet)

Le logiciel cible également un certain nombre de sites Web dans le but de recueillir des données privées d’utilisateurs qui permettraient à son propriétaire de voler des comptes.

List of sites targeted by the malware
Liste des sites ciblés par le malware (Fortinet)

Parmi les sites ciblés figurent :

  • Coinbase.com
  • Gmail.com
  • YouTube.com
  • Instagram.com
  • PayPal.com
  • Telegram.com
  • Hotmail.com
  • Outlook.com
  • Aliexpress.com
  • ExpressVPN.com
  • eBay.com
  • Playstation.com
  • xbox.com
  • Netflix.com
  • Uber.com

Le virus utilise sa fonction “upload” pour utiliser un webhook Discord afin de transférer les données volées vers le serveur de l’acteur de la menace après avoir collecté toutes les informations possibles sur la machine compromise.

Les webhooks Discord sont fréquemment utilisés pour voler des fichiers, des jetons Discord et d’autres données. Ils permettent aux utilisateurs de transmettre des messages contenant des fichiers à un serveur Discord.

Snippet of code of the 'upload' function
Extrait de code de la fonction “upload” ( Fortinet)

Fortinet a également découvert des programmes qui analysent les fichiers à la recherche de mots-clés particuliers et tentent de les voler via le service de transfert de fichiers “transfer.sh” s’ils sont identifiés. Les fichiers bancaires, les mots de passe, PayPal, les crypto-monnaies et les fichiers d’authentification multi-facteurs font partie des termes recherchés.

Da scoprire  Gli hacker utilizzano i nuovi malware PowerMagic e CommonMagic per rubare i dati

Le fait que certains des mots-clés soient en français est très intriguant car il suggère que l’acteur de la menace pourrait être français.

La liste complète des termes de recherche utilisés pour voler des données est présentée ci-dessous :

Function that checks for specific keywords
Fonction qui vérifie des mots-clés spécifiques (Fortinet)

Les logiciels malveillants étant désormais fréquemment distribués via des dépôts de paquets tels que PyPi et NPM, les développeurs doivent examiner le code des paquets avant de les inclure dans leurs applications.

Le paquet téléchargé ne doit pas être utilisé s’il contient du code obfusqué ou un comportement étrange ; il doit plutôt être signalé au dépôt.

 

 

Visualizzazioni 167

Philippe Ternision

Philippe Ternision

Come amministratore di rete in un grande gruppo, condivido le mie conoscenze su Hfrance per aiutare i miei colleghi.