Investigadores de ciberseguridad han descubierto 29 paquetes en Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación Python, cuyo objetivo es infectar las máquinas de los desarrolladores con un malware llamado W4SP Stealer .
“El ataque principal parece haber comenzado alrededor del 12 de octubre de 2022, cobrando impulso lentamente hasta convertirse en un esfuerzo concentrado alrededor del 22 de octubre”, dijo la empresa de seguridad de la cadena de suministro de software Phylum en un informe publicado esta semana.
La lista de paquetes infractores es la siguiente: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, request-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algorítmica, oiu, iao, curlapi, type-color y pyhints.
En conjunto, los paquetes se han descargado más de 5.700 veces, y algunas de las bibliotecas (por ejemplo, twyne y colorsama) confían en typosquatting para engañar a los usuarios desprevenidos para que los descarguen.
Los módulos fraudulentos reutilizan las bibliotecas legítimas existentes mediante la inserción de una declaración de importación maliciosa en el script ” setup.py ” de los paquetes para iniciar una pieza de código Python que recupera el malware de un servidor remoto.
W4SP Stealer , un troyano de código abierto basado en Python, viene con capacidades para robar archivos de interés, contraseñas, cookies del navegador, metadatos del sistema, tokens Discord, así como datos de las billeteras criptográficas MetaMask, Atomic y Exodus.
Esta no es la primera vez que W4SP Stealer se entrega a través de paquetes aparentemente benignos en el repositorio de PyPI. En agosto, Kaspersky descubrió dos bibliotecas llamadas pyquest y ultrarequests que se encontraron para implementar el malware como carga útil final.
Los hallazgos ilustran el abuso continuo de los ecosistemas de código abierto para propagar paquetes maliciosos que están diseñados para recopilar información confidencial y dar paso a ataques a la cadena de suministro .
“Como se trata de un ataque en curso con tácticas que cambian constantemente por parte de un atacante determinado, sospechamos que aparecerá más malware como este en un futuro próximo”, señaló Phylum.
