Hackers inundam repositório de módulos Python PyPi com malware para roubo de informações

O malware utilizado nesta campanha é um clone do W4SP Stealer, responsável por infecções generalizadas ocorridas em novembro de 2022.

Os módulos maliciosos – já removidos do repositório, mas baixados mais de 2.500 vezes – podem ser conferidos abaixo:

• modulesecurity – 114 downloads
• informmodule – 110 downloads
• chazz – 118 downloads
• randomtime – 118 downloads
• proxygeneratorbil – 91 downloads
• easycordey – 122 downloads
• easycordeyy – 103 downloads
• tomproxies – 150 downloads
• sys-ej – 186 downloads
• py4sync – 453 downloads
• infosys – 191 downloads
• sysuptoer – 186 downloads
• nowsys – 202 downloads
• upamonkws – 205 downloads
• captchaboy – 123 downloads
• proxybooster – 69 downloads

Embora os stealers descartados apresentem nomes diferentes, como Celestial, ANGEL, Satan, @skid e Leaf $tealer, a empresa de segurança cibernética Phylum descobriu que todos são baseados no código do W4SP.

Porém, em vez de seguir a complexa cadeia de ataque do W4SP, os novos malware adicionam o código malicioso diretamente nos arquivos “main.py” ou “_ init _.py”, sem codificação.