Pacotes maliciosos do PyPI deslizam o malware WhiteSnake InfoStealer para máquinas Windows
29 de Janeiro de 2024

Pesquisadores de segurança cibernética identificaram pacotes maliciosos no repositório Python Package Index (PyPI) de código aberto que entregam um malware de roubo de informações chamado WhiteSnake Stealer em sistemas Windows.

Os pacotes contaminados com malware são chamados nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends e TestLibs111.

Eles foram enviados por um ator de ameaças chamado "WS".

"Esses pacotes incorporam código fonte codificado em Base64 de PE ou outros scripts Python dentro de seus arquivos setup.py", disse Fortinet FortiGuard Labs em uma análise publicada na última semana.

"Dependendo do sistema operacional dos dispositivos vítimas, a payload maliciosa final é descartada e executada quando esses pacotes Python são instalados."

Enquanto os sistemas Windows são infectados com WhiteSnake Stealer, hosts Linux comprometidos recebem um script Python projetado para colher informações.

A atividade, que tem como alvo principalmente usuários Windows, se sobrepõe a uma campanha anterior divulgada por JFrog e Checkmarx no ano passado.

"O payload específica para Windows foi identificada como uma variante da [...] malware WhiteSnake, que possui um mecanismo Anti-VM, se comunica com um servidor C&C usando o protocolo Tor e é capaz de roubar informações da vítima e executar comandos", observou a JFrog em abril de 2023.

Ele também é projetado para capturar dados de navegadores web, carteiras de criptomoedas e aplicativos como WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal e Telegram.

Checkmarx está rastreando o ator de ameaças por trás da campanha sob o nome de PYTA31, afirmando que o objetivo final é exfiltrar dados sensíveis, particularmente de carteiras de criptomoedas, das máquinas alvo.

Alguns dos pacotes rogue recentemente publicados também foram observados incorporando funcionalidade clipper para sobrescrever o conteúdo da área de transferência com endereços de carteira pertencentes ao invasor para realizar transações não autorizadas.

Alguns outros foram configurados para roubar dados de navegadores, aplicativos e serviços de cripto.

Fortinet afirmou que a descoberta "demonstra a capacidade de um único autor de malware de disseminar vários pacotes de malware de roubo de informações na biblioteca PyPI ao longo do tempo, cada um com complexidades de payloads distintas".

A revelação vem após a ReversingLabs ter descoberto que dois pacotes maliciosos no registro de pacotes npm foram encontrados para aproveitar o GitHub para armazenar chaves SSH criptografadas em Base64 roubadas dos sistemas de desenvolvedores nos quais eles foram instalados.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...