多个不同名称的 PyPI 包中发现 W4SP 窃取器

窃取器代码

威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。

有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid Stealer,但网络安全公司 Phylum 发现它们都是 W4SP 的复制品。

W4SP 主要用于窃取用户数据,包括凭据、加密货币钱包、Discord 代币和其他感兴趣的文件。它是由别名BillyV3,BillyTheGoat和billythegoat356创建和发布的。

研究人员在本周发表的一份报告中说: “出于某种原因,其他模块似乎只是试图找到/替换 W4SP 引用内容,换取一些其他看似随意的名称。

16个流氓模块如下:modulesecurity,informmodule,chazz,randomtime,proxygeneratorbil,easycordey,easycordeyy,tomproxies,sys-ej,py4sync,infosys,sysuptoer,nowsys,upamonkws,captchaboy和proxybooster。

模仿W4SP 的活动大约在2022年10月开始,尽管有迹象表明,它可能早在2022年8月25日就开始了。从那时起,威胁参与者在 PyPI 上发布了数十个包含 W4SP 的假包。

不管怎样,这个活动的最新版本并没有明显地隐藏它的邪恶意图,除了 chazz,它利用软件包下载混淆的 Leaf $tealer 恶意软件输入输出粘贴服务

值得注意的是,以前版本的攻击链也曾被发现直接从公共 GitHub 存储库获取下一阶段的 Python 代码,然后删除凭证窃取器。

新的山寨版本的激增与 GitHub 对原始 W4SP Stealer 源代码存储库相吻合,表明可能与该行动无关的网络犯罪分子也在将该恶意软件武器化,以攻击 PyPI 用户。

研究人员说: “开源生态系统,如 PyPI、 NPM 等,对于这些人来说是很容易部署这类恶意软件的巨大目标。”他们的尝试只会变得更频繁、更持久、更复杂。”

这家软件供应链安全公司密切关注威胁行为者的频道,并进一步指出,BillyTheGoat将以前标记为pystyle的软件包木马化,以分发窃取程序。

该模块不仅每月下载数千次,而且在2021年9月开始作为一个无害的实用程序帮助用户设置控制台输出的样式。恶意修改是在2022年10月28日发布的2.1和2.2版本中引入的。

Billy TheGoat 在一封“未经请求的通信”中告诉 Phylum,这两个版本在 PyPI 上实时传播了大约一个小时,据称已经被下载了400次,存储库中可用的最新版本是2.9。

研究人员警告说: “仅仅因为一个软件在今天是良性的,并且已经显示出多年来的良性历史,并不意味着它将保持这种状态。威胁行为者在构建合法软件包方面表现出了极大的耐心,只是在它们变得足够流行之后才用恶意软件毒害它们。”

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业。公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理。平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

多个不同名称的 PyPI 包中发现 W4SP 窃取器

发布者:墨菲安全 赵伟,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4730.html

(1)
上一篇 2023年2月14日 14:06
下一篇 2023年2月20日 10:20

相关推荐

  • npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

    一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…

    2023年1月6日
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    开源无国界?vue-cli、node-ipc被投毒事件分析 简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec….

    2023年1月4日
  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年1月5日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年5月12日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741