Hackers inundam repositório de módulos Python PyPi com malware para roubo de informações
O malware utilizado nesta campanha é um clone do W4SP Stealer, responsável por infecções generalizadas ocorridas em novembro de 2022.
Os módulos maliciosos – já removidos do repositório, mas baixados mais de 2.500 vezes – podem ser conferidos abaixo:
- modulesecurity – 114 downloads
- informmodule – 110 downloads
- chazz – 118 downloads
- randomtime – 118 downloads
- proxygeneratorbil – 91 downloads
- easycordey – 122 downloads
- easycordeyy – 103 downloads
- tomproxies – 150 downloads
- sys-ej – 186 downloads
- py4sync – 453 downloads
- infosys – 191 downloads
- sysuptoer – 186 downloads
- nowsys – 202 downloads
- upamonkws – 205 downloads
- captchaboy – 123 downloads
- proxybooster – 69 downloads
Embora os stealers descartados apresentem nomes diferentes, como Celestial, ANGEL, Satan, @skid e Leaf $tealer, a empresa de segurança cibernética Phylum descobriu que todos são baseados no código do W4SP.
Porém, em vez de seguir a complexa cadeia de ataque do W4SP, os novos malware adicionam o código malicioso diretamente nos arquivos “main.py” ou “_ init _.py”, sem codificação.