Bedrohungsakteure haben eine weitere Runde bösartiger Pakete im Python Package Index (PyPI) veröffentlicht, mit dem Ziel, Informationen stehlende Malware auf kompromittierte Entwicklerrechner zu bringen.
Interessanterweise trägt die Malware verschiedene Namen wie ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer und @skid Stealer. Das Cybersicherheitsunternehmen Phylum hat festgestellt, dass es sich bei allen um Kopien von W4SP Stealer handelt.
Der W4SP Stealer dient in erster Linie dazu, Nutzerdaten abzuschöpfen, darunter Anmeldedaten, Kryptowährungs-Wallets, Discord-Token und andere interessante Dateien. Er wird von einem Akteur erstellt und veröffentlicht, der unter den Pseudonymen BillyV3, BillyTheGoat und billythegoat356 auftritt.
„Aus irgendeinem Grund scheint jeder Einsatz einfach versucht zu haben, die W4SP-Referenzen zu finden und durch einen anderen, scheinbar willkürlichen Namen zu ersetzen“, so die Forscher in einem Anfang der Woche veröffentlichten Bericht.
Die 16 betrügerischen Module sind: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy, und proxybooster.
Die Kampagne, die den W4SP Stealer verbreitet, wurde im Oktober 2022 bekannt, obwohl es Hinweise gibt, dass sie bereits am 25. August 2022 begonnen hat. Seitdem wurden Dutzende weiterer gefälschter Pakete, die W4SP Stealer enthielten, von den hartnäckigen Bedrohungsakteuren in der PyPI veröffentlicht.
Die neueste Version der Aktivitäten macht keinen Hehl aus ihren schändlichen Absichten, außer im Fall von chazz, der das Paket nutzt, um verschleierte Leaf $tealer Malware herunterzuladen, die auf dem klgrth[.]io Paste Service gehostet wird.
Es ist erwähnenswert, dass frühere Versionen der Angriffsketten auch entdeckt wurden, die den Python-Code der nächsten Stufe direkt von einem öffentlichen GitHub-Repository abrufen, das dann den Credential Stealer ausliefert.
Die Zunahme neuer Nachahmer-Varianten deckt sich mit der Löschung des Repositorys, in dem sich der ursprüngliche W4SP Stealer-Quellcode befand, durch GitHub, was darauf hindeutet, dass auch Cyberkriminelle, die wahrscheinlich nicht mit der Operation in Verbindung stehen, die Malware einsetzen, um PyPI-Nutzer anzugreifen.
„Open-Source-Ökosysteme wie PyPI, NPM und Co. sind für diese Art von Akteuren ein sehr leichtes Ziel, um diese Art von Malware zu verbreiten“, so die Forscher. Ihre Versuche werden immer häufiger, hartnäckiger und raffinierter werden.
Das Software Supply Chain Security-Unternehmen, das den Discord-Kanal des Bedrohungsakteurs im Auge behielt, stellte außerdem fest, dass ein zuvor markiertes Paket mit dem Namen pystyle von BillyTheGoat trojanisiert wurde, um den Stealer zu verbreiten.
Das Modul wurde nicht nur jeden Monat tausende Male heruntergeladen, sondern begann im September 2021 auch als harmloses Dienstprogramm, das den Benutzern helfen sollte, die Konsolenausgabe zu gestalten. Die bösartigen Änderungen wurden in den Versionen 2.1 und 2.2 eingeführt, die am 28. Oktober 2022 veröffentlicht wurden.
Diese beiden Versionen, die etwa eine Stunde lang auf PyPI zu finden waren, bevor sie zurückgezogen wurden, sollen 400 Mal heruntergeladen worden sein, so BillyTheGoat in einer „unaufgeforderten Korrespondenz“ mit Phylum.
„Nur weil ein Paket heute harmlos ist und sich seit Jahren als harmlos erwiesen hat, heißt das nicht, dass es auch so bleiben wird“, warnten die Forscher. „Bedrohungsakteure haben viel Geduld bewiesen, wenn es darum ging, legitime Pakete zu erstellen, nur um sie mit Malware zu verseuchen, nachdem sie populär genug geworden sind.