Recentemente, o Malware W4SP Stealer foi descoberto em pacotes PyPi maliciosos. Conheça veja os detalhes dessa ameaça.
PyPI é um repositório de software para pacotes criados na linguagem de programação Python. Como o índice hospeda 200.000 pacotes, ele permite que os desenvolvedores encontrem pacotes existentes que satisfaçam vários requisitos de projeto, economizando tempo e esforço.
Recentemente, cinco pacotes maliciosos foram encontrados no Python Package Index (PyPI), roubando senhas, cookies de autenticação do Discord e carteiras de criptomoedas de desenvolvedores desavisados.
Malware W4SP Stealer foi descoberto em pacotes PyPi maliciosos
Entre 27 e 29 de janeiro de 2023, um agente de ameaças carregou cinco pacotes maliciosos contendo o malware de roubo de informações ‘W4SP Stealer’ para o PyPi.
Embora os pacotes tenham sido removidos, eles já foram baixados por centenas de desenvolvedores de software. Esses cinco pacotes e suas estatísticas de download são:
- 3m-promo-gen-api – 136 downloads
- Ai-Solver-gen – 132 downloads
- hypixel-coins – 116 downloads
- httpxrequesterv2 – 128 downloads
- httpxrequester – 134 downloads
A grande maioria desses downloads ocorreu nos primeiros dias após o upload inicial dos pacotes, o que incentiva esses agentes mal-intencionados a tentar fazer upload do mesmo código no PyPI por meio de novos pacotes e de uma nova conta quando são banidos.
Pesquisadores de segurança da Fortinet descobriram os pacotes e descobriram que, quando são instalados, tentam roubar senhas salvas em navegadores, cookies e carteiras de criptomoedas.
Embora a Fortinet não tenha identificado o tipo de malware que rouba informações, o BleepingComputer identificou o malware como W4SP Stealer, que se tornou fortemente abusado em pacotes no PyPI.
O malware primeiro rouba dados de navegadores da web, como Google Chrome, Opera, Brave Browser, Yandex Browser e Microsoft Edge.
Em seguida, ele tenta roubar cookies de autenticação do Discord, Discord PTB, Discord Canary e do cliente LightCord.
Por fim, o malware tentará roubar as carteiras de criptomoedas Atomic Wallet e Exodus e os cookies do jogo online The Nations Glory, conforme mostrado abaixo.
Além disso, o malware visa uma lista de sites, tentando recuperar informações confidenciais do usuário que ajudariam seu operador a roubar contas.
Alguns dos sites segmentados incluem:
- Coinbase.com
- Gmail.com
- YouTube.com
- Instagram.com
- PayPal.com
- Telegram.com
- Hotmail.com
- Outlook.com
- Aliexpress.com
- ExpressVPN.com
- eBay.com
- Playstation.com
- xbox.com
- Netflix.com
- Uber.com
Depois de coletar todos os dados que encontra na máquina comprometida, o malware usa sua função de ‘upload’ para carregar os dados roubados usando um webhook do Discord, que os envia ao servidor do agente da ameaça.
Os webhooks do Discord permitem que os usuários enviem mensagens contendo arquivos para um servidor do Discord e são comumente usados para roubar arquivos, tokens do Discord e outras informações.
A Fortinet também notou a presença de funções que verificam os arquivos em busca de palavras-chave específicas e, se encontradas, tentam roubá-las usando o serviço de transferência de arquivos “transfer.sh”. As palavras-chave estão relacionadas a bancos, senhas, PayPal, criptomoeda e arquivos de autenticação multifator.
De particular interesse é que algumas das palavras-chave estão em francês, indicando que o agente da ameaça pode ser da França.
A lista completa de palavras-chave segmentadas para roubo de dados está listada abaixo:
Como os repositórios de pacotes, como PyPi e NPM, agora são comumente usados para distribuir malware, os desenvolvedores devem analisar o código nos pacotes antes de adicioná-los aos seus projetos.
Se algum código ofuscado ou comportamento incomum estiver presente no pacote baixado, ele não deve ser usado e, em vez disso, relatado no repositório.
