Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Angreifer nutzen bösartige Python-Pakete zur Verbreitung des W4SP-Stealers
29. November 2022. TuxCare PR Team
Sicherheitsforscher von Checkmarx haben einen laufenden Angriff auf die Lieferkette aufgedeckt, bei dem die Malware W4SP Stealer verbreitet wird.
W4SP Stealer ist eine Discord-Malware, die alle Discord-Konten, Passwörter, Krypto-Geldbörsen, Kreditkarten und andere Daten auf dem PC des Opfers abgreift und sie dann an den Angreifer zurückschickt.
W4SP Stealer wird derzeit für $20 verkauft und interessierte Käufer können mit Krypto oder Geschenkkarten bezahlen. Der Hersteller von WASP behauptet, dass es völlig unauffindbar ist und "durch eine großartige Verschleierung geschützt ist".
Die Angreifer nutzen bösartige Python-Pakete, um die Malware zu verbreiten. Checkmarx behauptet, dass bereits Hunderte von Nutzern Opfer der Malware geworden sind. Der Bericht von Checkmarx untermauert damit die Erkenntnisse von Phylum und Check Point, die 30 verschiedene Module im Python Package Index (PyPI) veröffentlicht haben. Diese Module wurden speziell entwickelt, um bösartigen Code unter dem Deckmantel harmlos aussehender Pakete zu verbreiten.
Laut den Forschern von Checkmarx ist der Bedrohungsakteur hinter den Angriffen "WASP". Die Angreifer verwenden polymorphe Malware, Reboot-Persistent und Stenografie, um Code in Paketen zu verstecken und dabei eine gefälschte GitHub-Reputation aufzubauen.
Polymorpher Code verwendet eine polymorphe Engine, um zu mutieren, während der ursprüngliche Algorithmus intakt bleibt. Das bedeutet, dass sich der Code bei jeder Ausführung verändert, obwohl die Funktion des Codes dieselbe bleibt. Diese Technik wird von Computerviren, Shellcodes und Computerwürmern verwendet, um ihre Präsenz zu verbergen.
Nach der Installation des bösartigen Pakets wird das Skript setup.py ausgeführt, und weitere Python-Pakete werden installiert. Das setup.py-Skript lädt ein PNG-Bild herunter und speichert es im Temp-Verzeichnis des Betriebssystems. Das Skript setup.py verwendet dann die Funktion "Isb.reveal" aus dem schädlichen Paket "judyb", um einen versteckten Code aus dem heruntergeladenen Bild zu extrahieren.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
