Пакеты из официального репозитория Python воруют пароли и криптокошельки
Пять пакетов, загруженных на PyPI в последних числах января 2023 г., пытались красть пароли и криптокошельки. К тому моменту, как их удалили, каждый пакет успели скачать более ста раз.
Троянские пакеты
В официальном репозитории кода на языке Python (PyPI) обнаружены пять вредоносных пакетов, атакующих разработчиков.
Репозиторий насчитывает 200 тыс. программных пакетов, которые разработчики могут использовать в своих продуктах, вместо того, чтобы писать определенные компоненты самим. Однако изредка возникают ситуации, когда злоумышленники пытаются компрометировать востребованные пакеты в надежде, что вредоносный софт окажется в конечных продуктах, или же загружают новые пакеты с вредоносным содержимым.
Между 27 и 29 января 2023 г. в PyPI кто-то загрузил пять пакетов, содержащих инфостилер (троянец для похищения данных) W4SPStealer. К тому моменту как их заблокировали, сотни разработчиков успели их закачать к себе.
Пакет 3m-promo-gen-apiскачали 136 раз, Ai-Solver-gen — 132, hypixel-coins — 116, httpxrequesterv2 — 128, httpxrequester – 134.
Все эти пакеты, разумеется, рекламировались как полезные инструменты.
Все, что плохо лежит
Вредоносную начинку выявили эксперты компании Fortinet Оказалось, что когда устанавливаешь зараженные пакеты, встроенный инфостилер пытается выкрасть пароли, которые могут храниться в браузерах, файлах cookie и криптокошельках.
W4SPStealer пытается красть данные из Google Chrome, Microsoft Edge, Opera, Brave и «Яндекс-браузера».
Кроме того, предпринимаются попытки выкрасть cookie авторизации к Discord, Discord PTB, Discord Canary и клиенту LightCord, а затем — криптокошельки Atomic Wallet и Exodus, плюс аккаунт к онлайн-игре The Nations Glory.
Как пишет издание BleepingComputer, вредонос также пытается вытянуть с зараженного компьютера важную информацию, относящуюся к ряду веб-сайтов: Coinbase.com, Gmail.com, YouTube.com, Instagram.com, PayPal.com, Telegram.com, Hotmail.com, Outlook.com, Aliexpress.com, ExpressVPN.com, eBay.com, Playstation.com, xbox.com, Netflix.com и Uber.com.
Вся эта информация выгружается на внешний ресурс, принадлежащий злоумышленнику, с использованием функции Webhook Discord. Webhook (вебхук) — это программный код, с помощью которого отслеживают изменения на одном сайте и передают данные об этом на другой. При этом вебхуки нередко используются и для кражи данных.
В коде вредоноса также содержится проверка файлов на наличие определенных ключевых слов, и если они обнаруживаются, то эти файлы выводятся через сервис transfer.sh. Ключевые слова относятся к банковским ресурсам, паролям, платежному сервису PayPal, криптовалютам и файлам многофакторной авторизации.
Некоторые ключевые слова написаны на французском, что может указывать на родную для злоумышленника языковую среду.
«Злоумышленники стали довольно часто использовать репозитории кода для размещения своих вредоносов, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC. — Из-за этого возникает необходимость перепроверять все содержимое сторонних пакетов, особенно новых, перед их использованием. Для профессиональных программистов это не слишком большая проблема, но время такая инспекция, безусловно, отнимет».
Эксперты отмечают также, что любое подозрительное поведение стороннего пакета или присутствие кода с обфускацией означает, что использовать его не стоит ни в коем случае.