Cybersecurity-Forscher haben im Python Package Index (PyPI), dem offiziellen Software-Repository für die Programmiersprache Python, 29 Pakete entdeckt, die darauf abzielen, die Rechner von Entwicklern mit einer Malware namens W4SP Stealer zu infizieren.
„Der Hauptangriff scheint um den 12. Oktober 2022 herum begonnen zu haben und nahm langsam an Fahrt auf, bis er sich um den 22. Oktober herum konzentrierte“, so das Software-Supply-Chain-Sicherheitsunternehmen Phylum in einem diese Woche veröffentlichten Bericht.
Die Liste der angegriffenen Pakete lautet wie folgt: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color, and pyhints.
Insgesamt wurden die Pakete mehr als 5.700 Mal heruntergeladen, wobei einige der Bibliotheken (z. B. twyne und colorsama) auf Typosquatting beruhen, um ahnungslose Nutzer zum Download zu verleiten.
Die betrügerischen Module nutzen vorhandene legitime Bibliotheken, indem sie eine bösartige Import-Anweisung in das „setup.py“-Skript der Pakete einfügen, um einen Python-Code zu starten, der die Malware von einem entfernten Server holt.
W4SP Stealer, ein Open-Source-Trojaner auf Python-Basis, ist in der Lage, interessante Dateien, Passwörter, Browser-Cookies, System-Metadaten, Discord-Tokens sowie Daten aus den Krypto-Wallets MetaMask, Atomic und Exodus zu stehlen.
Es ist nicht das erste Mal, dass der W4SP Stealer über scheinbar harmlose Pakete im PyPI-Repository verbreitet wird. Im August entdeckte Kaspersky zwei Bibliotheken namens pyquest und ultrarequests, die den Schädling als finale Nutzlast verbreiteten.
Die Entdeckungen zeigen, dass Open-Source-Ökosysteme weiterhin missbraucht werden, um bösartige Pakete zu verbreiten, die darauf abzielen, sensible Informationen abzugreifen und den Weg für Angriffe auf die Lieferkette zu ebnen.
„Da es sich um einen fortlaufenden Angriff mit ständig wechselnden Taktiken eines entschlossenen Angreifers handelt, vermuten wir, dass in naher Zukunft weitere Malware dieser Art auftauchen wird“, so Phylum.