Forscher entdecken 29 bösartige PyPI-Pakete, die auf Entwickler abzielen
Bedrohungsakteure verbreiten bösartige Python-Pakete über den beliebten Dienst Python Package Index (PyPI) und verwenden dabei authentisch klingende Dateinamen und versteckte Importe, um Entwickler zu täuschen und ihre Daten zu stehlen.
Bei der W4SP-Malware handelt es sich um ein datenklauendes Python-Paket, das zum Stehlen von Informationen verwendet wird. Stealer wurde von der Software-Supply-Chain-Firma Phylum entdeckt und besaß 29 Pakete im Python Package Index (PyPI), dem offiziellen Drittanbieter-Software-Repository für die Programmiersprache Python. Die Pakete erhalten auch relativ harmlose Namen oder Namen, die legitimen Paketen ähneln, eine Praxis, die als Typosquatting bekannt ist. Der Typosquatting-Trick führte zu über 5.700 Downloads der Pakete.
Um die Systeme von Entwicklern mit dem W4SP Stealer zu infizieren, einem Open-Source-Trojaner auf Python-Basis, der entwickelt wurde, um Informationen über Kryptowährungen zu stehlen, Daten zu stehlen, Anmeldedaten von den Systemen der Entwickler, Browser-Cookies, System-Metadaten, Discord-Tokens und Daten aus der MetaMask zu sammeln, erstellen die Angreifer gefälschte Python-Pakete und wenden grundlegende Techniken an.
Der Angriff begann um den 12. Oktober 2022 und erreichte seinen Höhepunkt am 22. Oktober. Der bösartige Import wurde einfach in die setup.py- oder init.py-Dateien der meisten Pakete eingeschleust, insbesondere in die älteren. Die Liste der betroffenen Pakete ist wie folgt: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color, und pyhints.
Das ultimative Ziel des Angriffs ist es, "den Trojaner W4SP Stealer zu installieren, der das System des Opfers auflistet, im Browser gespeicherte Passwörter stiehlt, auf Kryptowährungs-Wallets abzielt und mit Schlüsselwörtern wie 'bank' und 'secret' nach interessanten Dateien sucht", so Phylum.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.