Estás leyendo la publicación: Ladrón W4SP encontrado en el índice PyPi, amenazando carteras criptográficas y Contraseñas del navegador
Un actor de amenazas subió cinco paquetes maliciosos que contenían el malware de robo de información ‘W4SP Stealer’ al índice de paquetes Python (Índice PyPi) del 27 al 29 de enero de 2023.
Los investigadores de seguridad de la empresa de seguridad. Fortinet Descubrió cinco paquetes maliciosos que, una vez instalados, comenzaron a robar billeteras de criptomonedas, cookies de autenticación de Discord y contraseñas guardadas en los navegadores.
Ahora, para aquellos que no lo saben, PyPi es un repositorio de software creado para paquetes de lenguaje Python y puede contener hasta 200.000 paquetes que ayudan a los desarrolladores a encontrar los paquetes existentes para los requisitos de su proyecto.
Ahora, aunque se han eliminado los cinco paquetes maliciosos, cientos de desarrolladores ya los han descargado. Sin embargo, estos eran los cinco paquetes maliciosos.
Ai-Solver-gen
monedas-hipixel
httpxrequesterv2
Httprequester
3m-promo-gen-api
Bueno, los desarrolladores descargaron la mayoría de estos paquetes maliciosos en los primeros días, lo que motivó a los actores de amenazas a cargar el mismo código en el índice PyPi a través de nuevos paquetes y nuevas cuentas cada vez que eran prohibidos.
La empresa de seguridad no pudo identificar el tipo de robo de información, aunque según un informees el malware de robo de información de W4SP Stealer.
Leer: Los actores de amenazas rusos apuntan a las criptomonedas con el malware Enigma
Como mencionamos anteriormente, el malware que roba información roba información de navegadores web como Opera, Brave Browser, Yandex Browser, Microsoft Edge y más. Después de eso, intenta robar cookies de autenticación de Discord, Discord Canary, el cliente Lightcord y Discord PTB.
Al final, el malware intenta robar la billetera Atomic, las billeteras de criptomonedas Exodus y las cookies para Nations Glory, un juego en línea.
Además, el malware de robo de información también se dirige a una variedad de sitios web que intentan recuperar información confidencial del usuario, lo que eventualmente ayudará al actor de la amenaza a robar cuentas. Estas son listas de los sitios web de destino.
Paypal.com
youtube.com
Outlook.com
Hotmail.com
AliExpress.com
ExpressVPN.com
Instagram.com
eBay.com
Telegrama.com
PlayStation.com
Xbox.com
Netflix.com
Uber.com
Ahora, después de recopilar todos los datos de la computadora infectada, el malware carga los datos robados utilizando los webhooks de Discord y luego los publica en el servidor del actor de amenazas.
Bueno, Discord Webhooks permite a los usuarios enviar mensajes que contienen archivos a un servidor de Discord, y esta característica se explota en gran medida para robar tokens, contraseñas y más.
La empresa de seguridad también notó la existencia de una función que verifica los archivos en busca de palabras clave particulares y, si las detecta, intenta robarlas usando la herramienta de transferencia de archivos transfer.sh y en cuanto a las palabras clave relacionadas con PayPal, criptomonedas, banca, contraseña y más.
Además, algunas de las palabras clave utilizadas por el actor de amenazas están en francés, lo que indica que el actor de amenazas podría ser de Francia.
Hoy en día, los repositorios de paquetes como Python Package Index y Node Package Manager se utilizan para distribuir malware, por lo que es recomendable escanear los paquetes antes de descargarlos.
Leer: Se descubre una nueva variante del troyano Royal, dirigida a las máquinas virtuales VMware ESXi