威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。
有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid Stealer,但网络安全公司 Phylum 发现它们都是 W4SP 的复制品。
W4SP 主要用于窃取用户数据,包括凭据、加密货币钱包、Discord 代币和其他感兴趣的文件。它是由别名BillyV3,BillyTheGoat和billythegoat356创建和发布的。
研究人员在本周发表的一份报告中说: “出于某种原因,其他模块似乎只是试图找到/替换 W4SP 引用内容,换取一些其他看似随意的名称。
16个流氓模块如下:modulesecurity,informmodule,chazz,randomtime,proxygeneratorbil,easycordey,easycordeyy,tomproxies,sys-ej,py4sync,infosys,sysuptoer,nowsys,upamonkws,captchaboy和proxybooster。
模仿W4SP 的活动大约在2022年10月开始,尽管有迹象表明,它可能早在2022年8月25日就开始了。从那时起,威胁参与者在 PyPI 上发布了数十个包含 W4SP 的假包。
不管怎样,这个活动的最新版本并没有明显地隐藏它的邪恶意图,除了 chazz,它利用软件包下载混淆的 Leaf $tealer 恶意软件输入输出粘贴服务
值得注意的是,以前版本的攻击链也曾被发现直接从公共 GitHub 存储库获取下一阶段的 Python 代码,然后删除凭证窃取器。
新的山寨版本的激增与 GitHub 对原始 W4SP Stealer 源代码存储库相吻合,表明可能与该行动无关的网络犯罪分子也在将该恶意软件武器化,以攻击 PyPI 用户。
研究人员说: “开源生态系统,如 PyPI、 NPM 等,对于这些人来说是很容易部署这类恶意软件的巨大目标。”他们的尝试只会变得更频繁、更持久、更复杂。”
这家软件供应链安全公司密切关注威胁行为者的频道,并进一步指出,BillyTheGoat将以前标记为pystyle的软件包木马化,以分发窃取程序。
该模块不仅每月下载数千次,而且在2021年9月开始作为一个无害的实用程序帮助用户设置控制台输出的样式。恶意修改是在2022年10月28日发布的2.1和2.2版本中引入的。
Billy TheGoat 在一封“未经请求的通信”中告诉 Phylum,这两个版本在 PyPI 上实时传播了大约一个小时,据称已经被下载了400次,存储库中可用的最新版本是2.9。
研究人员警告说: “仅仅因为一个软件在今天是良性的,并且已经显示出多年来的良性历史,并不意味着它将保持这种状态。威胁行为者在构建合法软件包方面表现出了极大的耐心,只是在它们变得足够流行之后才用恶意软件毒害它们。”
