Cybersecurity-onderzoekers hebben een kwaadaardig Python-pakket ontdekt dat is geüpload naar de Python Package Index (PyPI)-repository en dat is ontworpen om een informatiedief te leveren genaamd Lumma (ook bekend als LummaC2).
Het pakket in kwestie is crytic-compilers, een typosquatted-versie van een legitieme bibliotheek genaamd crytic-compile. Het frauduleuze pakket werd 441 keer gedownload voordat het werd verwijderd door PyPI-beheerders.
“De nagemaakte bibliotheek is interessant omdat ze niet alleen vernoemd is naar het legitieme Python-hulpprogramma 'crytic-compile', maar ook omdat de versienummers overeenkomen met de echte bibliotheek”, aldus Sonatype-beveiligingsonderzoeker Ax Sharma.
“Terwijl de nieuwste versie van de echte bibliotheek stopt bij 0.3.7, begint de valse 'crytic-compilers'-versie hier en eindigt bij 0.3.11 – wat de indruk wekt dat dit een nieuwere versie van de component is.”
In een verdere poging om deze list vol te houden, werd ontdekt dat sommige versies van crytic-compilers (bijvoorbeeld 0.3.9) het daadwerkelijke pakket installeerden door middel van een wijziging in het setup.py-script.
De nieuwste versie laat echter alle schijn van een goedaardige bibliotheek varen door te bepalen of het besturingssysteem Windows is, en als dat zo is, wordt een uitvoerbaar bestand (“s.exe”) gestart, dat op zijn beurt is ontworpen om extra payloads op te halen, waaronder de Lumma-stealer.
Lumma is een informatiedief die beschikbaar is voor andere criminele actoren onder een Malware-as-a-Service (MaaS)-model en wordt verspreid via verschillende methoden, zoals getrojaniseerde software, malvertising en zelfs valse browserupdates.
De ontdekking “demonstreert doorgewinterde bedreigingsactoren die zich nu richten op Python-ontwikkelaars en misbruik maken van open-source registers zoals PyPI als distributiekanaal voor hun krachtige arsenaal aan gegevensdiefstal”, aldus Sharma.
Campagnes voor valse browserupdates richten zich op honderden WordPress-sites
De ontwikkeling komt op het moment dat Sucuri onthulde dat meer dan 300 WordPress-sites zijn gecompromitteerd met kwaadaardige Google Chrome-updatepop-ups die sitebezoekers omleiden naar valse MSIX-installatieprogramma's die leiden tot de inzet van informatiestelers en trojans voor externe toegang.
Bij aanvalsketens verkrijgen de bedreigingsactoren ongeoorloofde toegang tot de WordPress-beheerinterface en installeren ze een legitieme WordPress-plug-in genaamd Hustle – Email Marketing, Lead Generation, Optins, Popups om de code te uploaden die verantwoordelijk is voor het weergeven van de nep-pop-ups voor browserupdates.
“Deze campagne onderstreept een groeiende trend onder hackers om legitieme plug-ins voor kwaadaardige doeleinden te gebruiken”, aldus beveiligingsonderzoeker Puja Srivastava. “Door dit te doen, kunnen ze detectie door bestandsscanners omzeilen, aangezien de meeste plug-ins hun gegevens opslaan in de WordPress-database.”
