Cybersecurity-onderzoekers hebben kwaadaardige pakketten geïdentificeerd in de open-source Python Package Index (PyPI)-repository die informatie stelende malware leveren, genaamd WhiteSnake-stealer op Windows-systemen.
De malware-geregen pakketten heten nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends en TestLibs111. Ze zijn geüpload door een bedreigingsacteur genaamd ‘WS’.
“Deze pakketten bevatten Base64-gecodeerde broncode van PE of andere Python-scripts in hun setup.py-bestanden”, zei Fortinet FortiGuard Labs in een analyse die vorige week werd gepubliceerd.
“Afhankelijk van het besturingssysteem van de slachtofferapparaten wordt de laatste kwaadaardige lading verwijderd en uitgevoerd wanneer deze Python-pakketten worden geïnstalleerd.”
Terwijl Windows-systemen zijn geïnfecteerd met WhiteSnake Stealer, krijgen gecompromitteerde Linux-hosts een Python-script te zien dat is ontworpen om informatie te verzamelen. De activiteit, die zich voornamelijk richt op Windows-gebruikers, overlapt met een eerdere campagne die JFrog en Checkmarx vorig jaar bekendmaakten.
“De Windows-specifieke payload werd geïdentificeerd als een variant van de […] WhiteSnake-malware, die een anti-VM-mechanisme heeft, communiceert met een C&C-server via het Tor-protocol en is in staat informatie van het slachtoffer te stelen en opdrachten uit te voeren”, merkte JFrog in april 2023 op.
Het is ook ontworpen om gegevens vast te leggen van webbrowsers, portemonnees voor cryptocurrency en apps zoals WinSCP, CoreFTP, Windscribe, Filezilla, AzireVPN, Snowflake, Steam, Discord, Signal en Telegram.
Checkmarx volgt de bedreigingsacteur achter de campagne onder de naam PYTA31 en stelt dat het einddoel is om gevoelige en vooral crypto-portemonneegegevens van de doelmachines te exfiltreren.
Er is ook waargenomen dat sommige van de nieuw gepubliceerde frauduleuze pakketten clipper-functionaliteit bevatten om de inhoud van het klembord te overschrijven met portemonnee-adressen van de aanvaller om ongeautoriseerde transacties uit te voeren. Een paar andere zijn geconfigureerd om gegevens uit browsers, applicaties en cryptodiensten te stelen.
Fortinet zei dat de bevinding “het vermogen aantoont van een enkele malware-auteur om in de loop van de tijd talloze informatiestelende malwarepakketten in de PyPI-bibliotheek te verspreiden, elk met verschillende ingewikkelde payloads.”
De onthulling komt nadat ReversingLabs ontdekte dat twee kwaadaardige pakketten in het npm-pakketregister GitHub gebruiken om met Base64 gecodeerde SSH-sleutels op te slaan die zijn gestolen van ontwikkelaarssystemen waarop ze zijn geïnstalleerd.
