多个不同名称的 PyPI 包中发现 W4SP 窃取器

窃取器代码

威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。

有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid Stealer,但网络安全公司 Phylum 发现它们都是 W4SP 的复制品。

W4SP 主要用于窃取用户数据,包括凭据、加密货币钱包、Discord 代币和其他感兴趣的文件。它是由别名BillyV3,BillyTheGoat和billythegoat356创建和发布的。

研究人员在本周发表的一份报告中说: “出于某种原因,其他模块似乎只是试图找到/替换 W4SP 引用内容,换取一些其他看似随意的名称。

16个流氓模块如下:modulesecurity,informmodule,chazz,randomtime,proxygeneratorbil,easycordey,easycordeyy,tomproxies,sys-ej,py4sync,infosys,sysuptoer,nowsys,upamonkws,captchaboy和proxybooster。

模仿W4SP 的活动大约在2022年10月开始,尽管有迹象表明,它可能早在2022年8月25日就开始了。从那时起,威胁参与者在 PyPI 上发布了数十个包含 W4SP 的假包。

不管怎样,这个活动的最新版本并没有明显地隐藏它的邪恶意图,除了 chazz,它利用软件包下载混淆的 Leaf $tealer 恶意软件输入输出粘贴服务

值得注意的是,以前版本的攻击链也曾被发现直接从公共 GitHub 存储库获取下一阶段的 Python 代码,然后删除凭证窃取器。

新的山寨版本的激增与 GitHub 对原始 W4SP Stealer 源代码存储库相吻合,表明可能与该行动无关的网络犯罪分子也在将该恶意软件武器化,以攻击 PyPI 用户。

研究人员说: “开源生态系统,如 PyPI、 NPM 等,对于这些人来说是很容易部署这类恶意软件的巨大目标。”他们的尝试只会变得更频繁、更持久、更复杂。”

这家软件供应链安全公司密切关注威胁行为者的频道,并进一步指出,BillyTheGoat将以前标记为pystyle的软件包木马化,以分发窃取程序。

该模块不仅每月下载数千次,而且在2021年9月开始作为一个无害的实用程序帮助用户设置控制台输出的样式。恶意修改是在2022年10月28日发布的2.1和2.2版本中引入的。

Billy TheGoat 在一封“未经请求的通信”中告诉 Phylum,这两个版本在 PyPI 上实时传播了大约一个小时,据称已经被下载了400次,存储库中可用的最新版本是2.9。

研究人员警告说: “仅仅因为一个软件在今天是良性的,并且已经显示出多年来的良性历史,并不意味着它将保持这种状态。威胁行为者在构建合法软件包方面表现出了极大的耐心,只是在它们变得足够流行之后才用恶意软件毒害它们。”

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业。公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理。平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

多个不同名称的 PyPI 包中发现 W4SP 窃取器

发布者:墨菲安全 赵伟,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4730.html

(1)
上一篇 2023年2月14日 14:06
下一篇 2023年2月20日 10:20

相关推荐

  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年5月12日
  • OSCS发现PyPI官方仓库遭遇150+恶意包疯狂投毒

    一、事件简述 2022 年 06 月 23 日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了agoric-sdk,datashare,datadog-agent等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。 PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。攻击者mega7…

    2023年1月4日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • ihateniggers:针对Python开发者的Windows远控木马分析

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、play…

    2023年5月12日
  • 投毒者对 PyPi 上的开源组件开发者下手了

    简述 OSCS 近期监测到 PyPi 官方发布公告称有攻击者针对 PyPi 上的开源组件开发者进行钓鱼,试图窃取 PyPi 贡献者的凭据。本次攻击是通过贼喊捉贼的假装PyPi官方给恶意包发邮箱进行钓鱼,开发者可以通过开启2FA认证防止被攻击者窃取凭据后更改项目。 钓鱼事件 通过钓鱼邮件获取 PyPi 贡献者的凭据 根据PyPi官方发布的公告得知: PyPi …

    2023年1月5日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741