Две недели назад исследовательская группа Phylum сообщила , что в репозитории PyPI есть набор из 47 пакетов, заражающих своих жертв инфостилером W4SP. К счастью, эта вредоносная кампания была быстро остановлена после того, как GitHub отключил репозиторий, используемый хакерами для получения полезной нагрузки.
Однако, совсем недавно Phylum обнаружила 16 новых пакетов PyPI, распространяющих десять различных инфостилеров (например, Celestial Stealer, ANGEL stealer, Satan Stealer, @skid Stealer и Leaf $tealer), написанных на основе W4SP .
Список вредоносных пакетов, обнаруженных исследователями:
modulesecurity – 114 загрузок;
informmodule – 110 загрузок;
chazz – 118 загрузок;
randomtime – 118 загрузок;
proxygeneratorbil – 91 загрузка;
easycordey –122 загрузки;
easycordeyy – 103 загрузки;
tomproxies – 150 загрузок;
sys-ej – 186 загрузок;
py4sync – 453 загрузки;
infosys – 191 загрузка;
sysuptoer – 186 загрузок;
nowsys – 202 загрузки;
upamonkws – 205 загрузок;
captchaboy – 123 загрузки;
proxybooster – 69 загрузок.
Из всех вышеперечисленных пакетов только chazz следует сложной цепочке атак W4SP, включающей несколько этапов и обфускацию кода. Вместо этого они помещают код
Источник: SecurityLab