Angripare fortsätter att skapa falska Python-paket och använda rudimentära fördunklingstekniker i ett försök att infektera utvecklarnas system med W4SP Stealer, en trojan designad för att stjäla kryptovalutainformation, exfiltrera känslig data och samla in referenser från utvecklarnas system.
Enligt en rådgivning som publicerades denna vecka av mjukvaruförsörjningskedjan Phylum, har en hotaktör skapat 29 kloner av populära mjukvarupaket på Python Package Index (PyPI), gett dem godartat klingande namn eller målmedvetet gett dem namn som liknar legitima paket, en praxis känd som typosquatting. Om en utvecklare laddar ner och laddar de skadliga paketen, installerar installationsskriptet också – genom ett antal fördunklade steg – W4SP Stealer Trojan. Paketen har stått för 5,700 XNUMX nedladdningar, sa forskare.
Medan W4SP Stealer riktar sig till kryptovaluta-plånböcker och finansiella konton, verkar det viktigaste målet med de nuvarande kampanjerna vara utvecklarhemligheter, säger Louis Lang, medgrundare och CTO på Phylum.
"Det är inte olikt de e-postnätfiskekampanjer vi är vana vid att se, bara den här gången riktar sig angripare enbart mot utvecklare", säger han. "Med tanke på att utvecklare ofta har tillgång till kronjuvelerna kan en framgångsrik attack vara förödande för en organisation."
Attackerna på PyPI från den okända skådespelaren, eller gruppen, är bara de senaste hoten mot programvaruförsörjningskedjan. Programvarukomponenter med öppen källkod som distribueras genom förvarstjänster, såsom PyPI och Node Package Manager (npm), är en populär vektor för attacker, som antalet beroenden som importeras till programvara har ökat dramatiskt. Angripare försöker använda ekosystemen för att distribuera skadlig programvara till oförsiktiga utvecklares system, vilket hände i en attack 2020 på Ruby Gems ekosystem och attackerar Docker Hub-bildekosystemet. Och i augusti, säkerhetsforskare på Check Point Software Technologies hittade 10 PyPI-paket som tappade skadlig programvara som stjäl information.
I den här senaste kampanjen, "är dessa paket ett mer sofistikerat försök att leverera W4SP Stealer till Python-utvecklarens maskiner," Phylum-forskare uppgav i sin analys, och tillägger: "Eftersom det här är en pågående attack med ständigt föränderlig taktik från en beslutsam angripare, misstänker vi att mer skadlig programvara som denna dyker upp inom en snar framtid."
PyPI Attack är ett "nummerspel"
Den attacken drar fördel av utvecklare som felaktigt skriver namnet på ett vanligt paket eller använder ett nytt paket utan att korrekt kontrollera källan till programvaran. Ett skadligt paket, som heter "typesutil", är bara en kopia av det populära Python-paketet "datetime2", med några modifieringar.
Inledningsvis skulle alla program som importerade den skadliga programvaran köra ett kommando för att ladda ner skadlig programvara under installationsfasen, när Python laddar beroenden. Men eftersom PyPI implementerade vissa kontroller började angriparna använda blanksteg för att trycka de misstänkta kommandona utanför det normala visningsområdet för de flesta kodredigerare.
"Angriparen ändrade taktik något, och istället för att bara dumpa importen på en uppenbar plats, placerades den helt utanför skärmen, och utnyttjade Pythons sällan använda semikolon för att smyga den skadliga koden på samma rad som annan legitim kod," sa Phylum i sin analys.
Medan typosquatting är en lågtrohetsattack med endast sällsynta framgångar, kostar ansträngningen angripare lite jämfört med den potentiella belöningen, säger Phylum's Lang.
"Det är ett sifferspel med angripare som förorenar paketekosystemet med dessa skadliga paket dagligen", säger han. "Den olyckliga verkligheten är att kostnaden för att distribuera ett av dessa skadliga paket är extremt låg i förhållande till den potentiella belöningen."
En W4SP som svider
Det slutliga målet med attacken är att installera den "informationsstjälande trojanen W4SP Stealer, som räknar upp offrets system, stjäl webbläsarlagrade lösenord, riktar in sig på kryptovaluta plånböcker och söker efter intressanta filer med nyckelord, som "bank" och "hemlig ," säger Lang.
"Förutom de uppenbara monetära fördelarna med att stjäla kryptovaluta eller bankinformation, kan en del av den snattade informationen användas av angriparen för att främja sin attack genom att ge tillgång till kritisk infrastruktur eller ytterligare utvecklaruppgifter", säger han.
Phylum har gjort vissa framsteg med att identifiera angriparen och har skickat rapporter till de företag vars infrastruktur används.
