-
18/08/2021
-
45
-
73 bài viết
Mã độc đánh cắp thông tin W4SP nằm trong các gói Python Package Index
Năm gói packages độc hại đã được tìm thấy trên Python Package Index (PyPI), chúng được phát triển bởi các nhà phát triển thông thường, với khả năng đánh cắp mật khẩu, cookie, Discord và tiền điện tử.
PyPI là một kho lưu trữ phần mềm cho các package (gói) được tạo bằng ngôn ngữ lập trình Python. Nó lưu trữ 200.000 gói, giúp các nhà phát triển tìm các gói phù hợp với dự án, tiết kiệm thời gian và công sức.
Từ ngày 27 đến ngày 29 tháng 1 năm 2023, tin tặc đã tải năm gói độc hại có chứa phần mềm độc hại đánh cắp thông tin 'W4SP Stealer' lên PyPi.
Mặc dù các gói đã bị xóa nhưng chúng đã được tải xuống bởi hàng trăm nhà phát triển phần mềm. Năm gói này bao gồm:
Phần lớn các lượt tải xuống này xảy ra trong vài ngày đầu tiên, điều này đồn g nghĩa với việc các tin tặc này sẽ thử tải cùng một mã lên PyPI thông qua các gói mới và thông qua một tài khoản mới khi chúng bị cấm.
Trong khi Fortinet không xác định được loại phần mềm độc hại thuộc loại nào, BleepingComputer đã xác định phần mềm độc hại là W4SP Stealer.
Đầu tiên, phần mềm độc hại đánh cắp dữ liệu từ các trình duyệt web, chẳng hạn như Google Chrome, Opera, Brave Browser, Yandex Browser và Microsoft Edge.
Sau đó, nó cố gắng đánh cắp cookie xác thực từ Discord, Discord PTB, Discord Canary và ứng dụng khách LightCord.
Cuối cùng, phần mềm độc hại sẽ cố gắng đánh cắp ví tiền điện tử Atomic Wallet và Exodus và cookie cho trò chơi trực tuyến The Nations Glory.
Ngoài ra, phần mềm độc hại nhắm mục tiêu vào danh sách các trang web, cố gắng truy xuất thông tin nhạy cảm của người dùng có thể giúp tin tặc đánh cắp tài khoản.
Một số trang web được nhắm mục tiêu bao gồm:
Webhook Discord cho phép người dùng gửi tin nhắn chứa tệp đến máy chủ Discord và thường bị lạm dụng để đánh cắp tệp, Discord tokens và các thông tin khác.
Fortinet cũng nhận thấy sự hiện diện của các chức năng tìm và đánh cắp các tệp khác trong danh sách bằng cách sử dụng dịch vụ truyền tệp "transfer.sh". Các từ khóa liên quan đến ngân hàng, mật khẩu, PayPal, tiền điện tử và các tệp xác thực đa yếu tố.
Điều đáng quan tâm đặc biệt là một số từ khóa bằng tiếng Pháp, chỉ ra rằng tin tặc có thể đến từ Pháp.
Danh sách các từ khóa tìm kiếm để đánh cắp dữ liệu bao gồm:
Hiện tại các kho lưu trữ gói như PyPi và NPM thường được sử dụng để phân phối phần mềm độc hại, cho nên các nhà phát triển phải phân tích mã trong các gói trước khi thêm chúng vào dự án của mình.
Nếu có bất kỳ mã bị xáo trộn hoặc hành vi bất thường nào trong gói đã tải xuống, các nhà phát triển không nên sử dụng và hãy báo cáo chúng.
PyPI là một kho lưu trữ phần mềm cho các package (gói) được tạo bằng ngôn ngữ lập trình Python. Nó lưu trữ 200.000 gói, giúp các nhà phát triển tìm các gói phù hợp với dự án, tiết kiệm thời gian và công sức.
Từ ngày 27 đến ngày 29 tháng 1 năm 2023, tin tặc đã tải năm gói độc hại có chứa phần mềm độc hại đánh cắp thông tin 'W4SP Stealer' lên PyPi.
Mặc dù các gói đã bị xóa nhưng chúng đã được tải xuống bởi hàng trăm nhà phát triển phần mềm. Năm gói này bao gồm:
- 3M-Promo-Gen-API - 136 lượt tải xuống
- Ai-Solver-gen - 132 lượt tải xuống
- Hypixel-Coins – 116 lượt tải xuống
- httpxrequesterv2 – 128 lượt tải xuống
- httpxrequester - 134 lượt tải xuống
Đánh cắp mật khẩu
Các nhà nghiên cứu bảo mật tại Fortinet đã phát hiện ra các gói và khi chúng được cài đặt, chúng sẽ đánh cắp mật khẩu được lưu trong trình duyệt, cookie và ví tiền điện tử.Trong khi Fortinet không xác định được loại phần mềm độc hại thuộc loại nào, BleepingComputer đã xác định phần mềm độc hại là W4SP Stealer.
Đầu tiên, phần mềm độc hại đánh cắp dữ liệu từ các trình duyệt web, chẳng hạn như Google Chrome, Opera, Brave Browser, Yandex Browser và Microsoft Edge.
Sau đó, nó cố gắng đánh cắp cookie xác thực từ Discord, Discord PTB, Discord Canary và ứng dụng khách LightCord.
Cuối cùng, phần mềm độc hại sẽ cố gắng đánh cắp ví tiền điện tử Atomic Wallet và Exodus và cookie cho trò chơi trực tuyến The Nations Glory.
Ngoài ra, phần mềm độc hại nhắm mục tiêu vào danh sách các trang web, cố gắng truy xuất thông tin nhạy cảm của người dùng có thể giúp tin tặc đánh cắp tài khoản.
Một số trang web được nhắm mục tiêu bao gồm:
- Coinbase.com
- Gmail.com
- YouTube.com
- Instagram.com
- PayPal.com
- Telegram.com
- Hotmail.com
- Outlook.com
- Aliexpress.com
- ExpressVPN.com
- eBay.com
- Playstation.com
- xbox.com
- Netflix.com
- Uber.com
Webhook Discord cho phép người dùng gửi tin nhắn chứa tệp đến máy chủ Discord và thường bị lạm dụng để đánh cắp tệp, Discord tokens và các thông tin khác.
Fortinet cũng nhận thấy sự hiện diện của các chức năng tìm và đánh cắp các tệp khác trong danh sách bằng cách sử dụng dịch vụ truyền tệp "transfer.sh". Các từ khóa liên quan đến ngân hàng, mật khẩu, PayPal, tiền điện tử và các tệp xác thực đa yếu tố.
Điều đáng quan tâm đặc biệt là một số từ khóa bằng tiếng Pháp, chỉ ra rằng tin tặc có thể đến từ Pháp.
Danh sách các từ khóa tìm kiếm để đánh cắp dữ liệu bao gồm:
Hiện tại các kho lưu trữ gói như PyPi và NPM thường được sử dụng để phân phối phần mềm độc hại, cho nên các nhà phát triển phải phân tích mã trong các gói trước khi thêm chúng vào dự án của mình.
Nếu có bất kỳ mã bị xáo trộn hoặc hành vi bất thường nào trong gói đã tải xuống, các nhà phát triển không nên sử dụng và hãy báo cáo chúng.
Theo: Bleeping Computer
Chỉnh sửa lần cuối: