Các nhà nghiên cứu an ninh mạng đã phát hiện ra 29 gói trong Python Package Index (PyPI), kho lưu trữ phần mềm chính thức của bên thứ ba cho ngôn ngữ lập trình Python, nhằm mục đích lây nhiễm phần mềm độc hại cho máy của các nhà phát triển bằng một phần mềm độc hại có tên là W4SP Stealer.
Công ty bảo mật chuỗi cung ứng phần mềm Phylum cho biết trong một báo cáo được công bố trong tuần này: “Cuộc tấn công chính dường như bắt đầu vào khoảng ngày 12 tháng 10 năm 2022, từ từ bắt đầu chuyển sang nỗ lực tập trung vào khoảng ngày 22 tháng 10.
Danh sách các gói vi phạm như sau: stylesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, Request-httpx, Colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, thuật toán, oiu, iao, curlapi, type-color và pyhints.
Nói chung, các gói đã được tải xuống hơn 5.700 lần, với một số thư viện (ví dụ: twyne và colorama) dựa vào lỗi đánh máy để lừa người dùng không nghi ngờ tải chúng xuống.
Các mô-đun gian lận sử dụng lại các thư viện hợp pháp hiện có bằng cách chèn một câu lệnh nhập độc hại trong tập lệnh “setup.py” của gói để khởi chạy một đoạn mã Python tìm nạp phần mềm độc hại từ một máy chủ từ xa.
W4SP Stealer, một trojan mã nguồn mở dựa trên Python, có khả năng lấy cắp các tệp quan tâm, mật khẩu, cookie trình duyệt, siêu dữ liệu hệ thống, mã thông báo Discord, cũng như dữ liệu từ ví tiền điện tử MetaMask, Atomic và Exodus.
Đây không phải là lần đầu tiên W4SP Stealer được phân phối thông qua các gói có vẻ lành tính trong kho lưu trữ PyPI. Vào tháng 8, Kaspersky đã phát hiện ra hai thư viện có tên là pyquest và ultrarequest đã được phát hiện để triển khai phần mềm độc hại dưới dạng tải trọng cuối cùng.
Các phát hiện cho thấy việc tiếp tục lạm dụng các hệ sinh thái nguồn mở để tuyên truyền các gói độc hại được thiết kế để thu thập thông tin nhạy cảm và dọn đường cho các cuộc tấn công chuỗi cung ứng.
“Vì đây là một cuộc tấn công đang diễn ra với các chiến thuật thay đổi liên tục từ một kẻ tấn công được xác định, chúng tôi nghi ngờ sẽ thấy nhiều phần mềm độc hại như thế này xuất hiện trong tương lai gần”, Phylum lưu ý.
