Support technique
Documentation
Connexion
Nous contacter
Les attaquants utilisent des paquets python malveillants pour propager W4SP Stealer.
29 novembre 2022 - L'équipe de relations publiques de TuxCare
Les chercheurs en sécurité de Checkmarx ont découvert une attaque continue de la chaîne d'approvisionnement qui implique la diffusion d'un logiciel malveillant appelé W4SP Stealer.
W4SP Stealer est un malware Discord qui s'empare de tous les comptes Discord, mots de passe, portefeuilles de crypto-monnaies, cartes de crédit et autres données sur le PC d'une victime, puis les renvoie à l'attaquant.
W4SP Stealer est actuellement vendu pour 20 $ et les acheteurs intéressés peuvent payer avec des crypto ou des cartes-cadeaux. Le fabricant de WASP affirme qu'il est entièrement indétectable et qu'il est "protégé par un obscurcissement impressionnant".
Les attaquants utilisent des paquets Python malveillants pour distribuer le malware. Checkmarx affirme que des centaines d'utilisateurs sont déjà victimes de ce malware. Le rapport de Checkmarx vient donc étayer les conclusions de Phylum et Check Point, qui ont signalé 30 modules différents publiés sur le Python Package Index (PyPI). Ces modules ont été spécifiquement conçus pour propager du code malveillant sous l'apparence de paquets d'apparence bénigne.
Selon les chercheurs de Checkmarx, l'acteur de la menace derrière les attaques est "WASP". L'attaquant utilise des logiciels malveillants polymorphes, le reboot persistant et la sténographie pour cacher du code à l'intérieur de paquets, en se construisant une fausse réputation GitHub dans le processus.
Le code polymorphe utilise un moteur polymorphe pour muter tout en gardant l'algorithme original intact. Cela signifie que le code se modifie à chaque fois qu'il s'exécute, même si la fonction du code reste la même. Cette technique est utilisée par les virus informatiques, les shellcodes et les vers informatiques pour dissimuler leur présence.
Après l'installation du paquet malveillant, le script setup.py est exécuté et des paquets Python supplémentaires sont installés. Le script setup.py télécharge une image .PNG et l'enregistre dans le répertoire temporaire du système d'exploitation. Le script setup.py utilise ensuite la fonction "Isb.reveal" située dans le paquet malveillant "judyb" pour extraire un code caché de l'image téléchargée.
Les sources de cet article comprennent un article de TheHackerNews.
