Cybersicherheitsforscher haben bösartige Pakete im Open-Source-Python Package Index (PyPI) Repository identifiziert, die auf Windows-Systemen einen Information stehlenden Malware namens WhiteSnake Stealer ausführen. Die mit Malware infizierten Pakete werden als nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends und TestLibs111 bezeichnet und wurden von einem Bedrohungsakteur namens „WS“ hochgeladen. Laut einer Analyse von Fortinet FortiGuard Labs werden „diese Pakete Base64-kodierte Quellcodes von PE oder anderen Python-Skripten in ihren setup.py-Dateien enthalten“. Je nach Betriebssystem des Opfers werden die finalen bösartigen Payloads abgesetzt und ausgeführt, wenn diese Python-Pakete installiert sind.
Während Windows-Systeme mit WhiteSnake Stealer infiziert sind, erhalten kompromittierte Linux-Hosts ein Python-Skript, das darauf abzielt, Informationen zu sammeln. Diese Aktivität, die hauptsächlich auf Windows-Benutzer abzielt, überschneidet sich mit einer früheren Kampagne, die JFrog und Checkmarx im letzten Jahr veröffentlicht haben. „Der für Windows spezifische Payload wurde als Variante der WhiteSnake-Malware identifiziert, die einen Anti-VM-Mechanismus hat, mit einem C&C-Server über das Tor-Protokoll kommuniziert und in der Lage ist, Informationen vom Opfer zu stehlen und Befehle auszuführen“, merkte JFrog im April 2023 an. Die Malware zielt außerdem darauf ab, Daten von Webbrowsern, Kryptowallets und Anwendungen wie WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Schneeflocke, Steam, Discord, Signal und Telegram abzugreifen.
Checkmarx verfolgt den Bedrohungsakteur hinter der Kampagne unter dem Namen PYTA31 und gibt an, dass das Endziel darin besteht, sensible Daten, insbesondere Kryptowallet-Daten, von den Zielmaschinen zu exfiltrieren. Einige der neu veröffentlichten schädlichen Pakete haben auch die Funktion des Clipboard-Overwritings, um den Inhalt der Zwischenablage mit vom Angreifer kontrollierten Wallet-Adressen zu überschreiben und unbefugte Transaktionen durchzuführen. Einige andere sind so konfiguriert, dass sie Daten von Browsern, Anwendungen und Kryptodiensten stehlen.
Fortinet erklärt, dass diese Entdeckung „die Fähigkeit eines einzelnen Malware-Autors zeigt, im Laufe der Zeit zahlreiche informationssammelnde Malware-Pakete in die PyPI-Bibliothek einzuschleusen, von denen jedes individuelle Payload-Details aufweist“.