Die Cybersicherheitsforscher von Checkmarx entdeckten mehr als zwei Dutzend bösartige Pakete auf PyPI, einem beliebten Repository für Python-Entwickler, und veröffentlichten ihre Ergebnisse in einem neuen Bericht (wird in einem neuen Tab geöffnet).
Diese bösartigen Pakete, die so gestaltet sind, dass sie fast wie legitime Pakete aussehen, versuchen, ahnungslose Entwickler dazu zu bringen, das falsche herunterzuladen und zu installieren, wodurch Malware verbreitet wird.
Diese Praxis wird als Typosquatting bezeichnet und ist bei Cyberkriminellen sehr beliebt, die es auf Softwareentwickler abgesehen haben.
Infostealer-Überfälle
Um Malware zu verbergen, verwenden Angreifer zwei einzigartige Ansätze: Steganographie und Polymorphismus.
Steganographie ist die Praxis, Code in einem Bild zu verstecken, wodurch Hacker schädlichen Code über scheinbar harmlose .JPG- und .PNG-Dateien verbreiten können.
Polymorphe Malware hingegen ändert die Payload bei jeder Installation und umgeht erfolgreich Antivirenprogramme und andere Cybersicherheitslösungen.
Hier nutzten die Angreifer diese Techniken, um WASP bereitzustellen, einen Informationsdieb, der in der Lage ist, Discord-Konten, Passwörter, Kryptowährungs-Wallet-Informationen, Kreditkartendaten sowie alle anderen Informationen auf dem Terminal des Opfers zu übernehmen, die als interessant erachtet wurden.
Nach der Identifizierung werden die Daten über eine fest codierte Discord-Webhook-Adresse an die Angreifer zurückgesendet.
Die Kampagne scheint ein Marketing-Gag zu sein, da Forscher offenbar Angreifer dabei erwischt haben, wie sie das Tool im Dark Web für 20 Euro bewarben und behaupteten, es sei nicht nachweisbar.
Darüber hinaus glauben die Forscher, dass dies dieselbe Gruppe ist, die hinter einem ähnlichen Angriff steckt, der erstmals Anfang dieses Monats von Forschern bei Phylum (wird in einem neuen Tab geöffnet) und Check Point (wird in einem neuen Tab geöffnet) gemeldet wurde. ). Damals soll eine Gruppe namens Worok seit mindestens September 2022 DropBoxControl, einen benutzerdefinierten .NET C#-Informationsstehler, der das Dropbox-Dateihosting für Kommunikation und Datendiebstahl missbraucht, verbreitet haben.
Angesichts seines Werkzeugkastens glauben die Forscher, dass Worok das Werk einer Cyber-Spionagegruppe ist, die leise arbeitet, sich gerne seitlich bewegt, um Netzwerke anzugreifen und sensible Daten zu stehlen. Es scheint auch seine eigenen proprietären Tools zu verwenden, da die Forscher nicht beobachtet haben, dass jemand anderes diese verwendet.
Über: Die Registrierung (Öffnet in einem neuen Tab)