Cybersecurity-onderzoekers hebben gewaarschuwd voor een nieuw kwaadaardig Python-pakket dat is ontdekt in de Python Package Index (PyPI)-repository om diefstal van cryptocurrency te vergemakkelijken als onderdeel van een bredere campagne.
Het pakket in kwestie is pytoileur, dat op het moment van schrijven 316 keer is gedownload. Interessant is dat de auteur van het pakket, die de naam PhilipsPY draagt, een nieuwe versie van het pakket (1.0.2) met identieke functionaliteit heeft geüpload nadat een eerdere versie (1.0.1) op 28 mei 2024 door PyPI-onderhouders was verwijderd.
Volgens een analyse van Sonatype is de kwaadaardige code ingebed in het setup.py-script van het pakket, waardoor het een Base64-gecodeerde payload kan uitvoeren die verantwoordelijk is voor het ophalen van een Windows-binair bestand van een externe server.
“Het opgehaalde binaire bestand, 'Runtime.exe', wordt vervolgens uitgevoerd door gebruik te maken van Windows PowerShell- en VBScript-opdrachten op het systeem”, aldus beveiligingsonderzoeker Ax Sharma.
Eenmaal geïnstalleerd, zorgt het binaire bestand voor persistentie en laat het extra ladingen vallen, waaronder spyware en stealer-malware die gegevens van webbrowsers en cryptocurrency-services kan verzamelen.
Sonatype zei dat het ook een nieuw aangemaakt StackOverflow-account genaamd “EstAYA G” identificeerde dat reageerde op de vragen van gebruikers op het vraag-en-antwoordplatform en hen opdroeg het frauduleuze pytoileur-pakket te installeren als een veronderstelde oplossing voor hun problemen.
“Hoewel definitieve attributie een uitdaging is bij het beoordelen van pseudonieme gebruikersaccounts op internetplatforms zonder toegang tot logbestanden, geeft de recente leeftijd van beide gebruikersaccounts en hun enige doel, het publiceren en promoten van het kwaadaardige Python-pakket, ons een goede indicatie dat deze zijn gekoppeld aan dezelfde dreigingsactoren achter deze campagne”, vertelde Sharma aan The Hacker News.
De ontwikkeling markeert een nieuwe escalatie in de zin dat misbruik wordt gemaakt van een geloofwaardig platform als verspreidingsvector voor malware.
“Het ongekende openlijke misbruik van zo'n geloofwaardig platform, dat het gebruikt als voedingsbodem voor kwaadaardige campagnes, is een groot waarschuwingssignaal voor ontwikkelaars wereldwijd”, zei Sonatype verder in een verklaring gedeeld met The Hacker News.
“Het compromis van StackOverflow is vooral zorgwekkend gezien het grote aantal beginnende ontwikkelaars die het heeft, die nog steeds aan het leren zijn, vragen stellen en mogelijk in kwaadaardig advies trappen.”
Een nader onderzoek van de metagegevens van het pakket en de auteursgeschiedenis ervan heeft overlappingen aan het licht gebracht met een eerdere campagne met valse Python-pakketten zoals Pystob en Pywool, die in november 2023 door Checkmarx werd onthuld.
De bevindingen zijn een ander voorbeeld van waarom open-source-ecosystemen een magneet blijven voor bedreigingsactoren die meerdere doelen tegelijk willen compromitteren met informatiestelers zoals Bladeroid en andere malware door middel van een zogenaamde supply chain-aanval.
