Осы жалят пользователей репозиториев PyPI

Две недели назад исследовательская группа Phylum сообщила , что в репозитории PyPI есть набор из 47 пакетов, заражающих своих жертв инфостилером W4SP. К счастью, эта вредоносная кампания была быстро остановлена после того, как GitHub отключил репозиторий, используемый хакерами для получения полезной нагрузки.

Однако, совсем недавно Phylum обнаружила 16 новых пакетов PyPI, распространяющих десять различных инфостилеров (например, Celestial Stealer, ANGEL stealer, Satan Stealer, @skid Stealer и Leaf $tealer), написанных на основе W4SP .

Список вредоносных пакетов, обнаруженных исследователями:

• modulesecurity – 114 загрузок;
• informmodule – 110 загрузок;
• chazz – 118 загрузок;
• randomtime – 118 загрузок;
• proxygeneratorbil – 91 загрузка;
• easycordey –122 загрузки;
• easycordeyy – 103 загрузки;
• tomproxies – 150 загрузок;
• sys-ej – 186 загрузок;
• py4sync – 453 загрузки;
• infosys – 191 загрузка;
• sysuptoer – 186 загрузок;
• nowsys – 202 загрузки;
• upamonkws – 205 загрузок;
• captchaboy – 123 загрузки;
• proxybooster – 69 загрузок.

Из всех вышеперечисленных пакетов только chazz следует сложной цепочке атак W4SP, включающей несколько этапов и обфускацию кода. Вместо этого они помещают код инфостилера напрямую в "main.py" или" _init_.py".

Chazz, в свою очередь, подбрасывает копию инфостилера Leaf $tealer и обфусцирует код с помощью инструмента BlankOBF.

Все новые вредоносы повторяют тактику W4SP, загружая полезную нагрузку с репозиториев GitHub. Пока неясно, кто стоит за распространением вредоносных пакетов, но Phylum предполагает, что это дело рук разных хакерских группировок.