Malicious PyPI Packages: WhiteSnake InfoStealer Minaccia i Sistemi Windows
Ricercatori di sicurezza informatica hanno individuato pacchetti maligni all’interno del repository open-source Python Package Index (PyPI) che distribuiscono un malware per il furto di informazioni chiamato WhiteSnake Stealer sui sistemi Windows.
Questi pacchetti, denominati nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends e TestLibs111, sono stati caricati da un attore minaccioso identificato come “WS”.
“Questi pacchetti incorporano codice sorgente Base64-encoded di PE o altri script Python all’interno dei loro file setup.py,” ha dichiarato Fortinet FortiGuard Labs in un’analisi pubblicata la scorsa settimana.
“A seconda del sistema operativo dei dispositivi delle vittime, il payload maligno finale viene scaricato ed eseguito quando questi pacchetti Python vengono installati.”
Mentre i sistemi Windows sono infettati con WhiteSnake Stealer, gli host Linux compromessi ricevono uno script Python progettato per raccogliere informazioni.
L’attività, che mira principalmente agli utenti Windows, si sovrappone a una campagna precedente rivelata da JFrog e Checkmarx lo scorso anno.
“Il payload specifico per Windows è stato identificato come una variante del malware WhiteSnake, che dispone di un meccanismo Anti-VM, comunica con un server C&C utilizzando il protocollo Tor ed è in grado di rubare informazioni dalla vittima ed eseguire comandi,” ha notato JFrog nell’aprile 2023.
Il malware è progettato anche per catturare dati da browser web, portafogli di criptovalute e app come WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal e Telegram.
Checkmarx sta monitorando l’attore minaccioso dietro la campagna con il soprannome PYTA31, affermando che l’obiettivo finale è esfiltrare dati sensibili e in particolare informazioni sui portafogli cripto dalle macchine bersaglio.
Alcuni dei pacchetti rogue di recente pubblicazione sono stati osservati incorporare funzionalità di clipper per sovrascrivere il contenuto degli appunti con indirizzi del portafoglio di proprietà dell’attaccante al fine di effettuare transazioni non autorizzate. Altri sono configurati per rubare dati da browser, applicazioni e servizi cripto.
Fortinet ha dichiarato che la scoperta “dimostra la capacità di un singolo autore di malware di diffondere numerosi pacchetti malware per il furto di informazioni nella libreria PyPI nel tempo, ognuno con peculiarità di payload distinte.”
Questa rivelazione giunge mentre ReversingLabs ha scoperto che due pacchetti maligni nel registro pacchetti npm sfruttano GitHub per archiviare chiavi SSH criptate in Base64 rubate dai sistemi degli sviluppatori su cui sono stati installati.