Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los atacantes aprovechan paquetes python maliciosos para propagar W4SP Stealer
Obanla Opeyemi
29 de noviembre de 2022 - Equipo de expertos TuxCare
Investigadores de seguridad de Checkmarx han descubierto un ataque en curso a la cadena de suministro que implica la propagación del malware identificado como W4SP Stealer.
W4SP Stealer es un malware de discordia que agarra todas las cuentas de discordia, contraseñas, billeteras criptográficas, tarjetas de crédito y otros datos en la PC de la víctima y luego los envía de vuelta al atacante.
W4SP Stealer se vende actualmente por 20 dólares y los compradores interesados pueden pagar con criptomonedas o tarjetas regalo. El creador de WASP afirma que es totalmente indetectable y está "protegido por una ofuscación impresionante".
Los atacantes utilizan paquetes Python maliciosos para distribuir el malware. Checkmarx afirma que cientos de usuarios ya han sido víctimas del malware. El informe de Checkmarx refuerza los hallazgos de Phylum y Check Point, que señalaron 30 módulos diferentes publicados en el Python Package Index (PyPI). Estos módulos estaban diseñados específicamente para propagar código malicioso bajo la apariencia de paquetes benignos.
Según los investigadores de Checkmarx, el actor de la amenaza detrás de los ataques es "WASP". El atacante utiliza malware polimórfico, reinicio persistente y estenografía para ocultar código dentro de paquetes, construyendo una reputación falsa de GitHub en el proceso.
El código polimórfico utiliza un motor polimórfico para mutar manteniendo intacto el algoritmo original. Esto significa que el código cambia cada vez que se ejecuta aunque su función siga siendo la misma. Los virus informáticos, los shellcodes y los gusanos informáticos utilizan esta técnica para ocultar su presencia.
Tras instalar el paquete malicioso, se ejecuta el script setup.py y se instalan paquetes Python adicionales. El script setup.py descarga una imagen .PNG y la guarda en el directorio temporal del sistema operativo. A continuación, el script setup.py utiliza la función "Isb.reveal" ubicada en el paquete malicioso "judyb" para extraer un código oculto de la imagen descargada.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
