В начале ноября компании Phylum и CheckPoint сообщили о нескольких вредоносных пакетах. Мы связываем эти два сообщения с одним и тем же злоумышленником с уникальным подходом к сокрытию вредоносного кода. Исследовательская группа Checkmarx по безопасности цепочек поставок отследила исполнителя этих атак как угрожающего агента "WASP".
Угрожающий агент все еще активен и выпускает новые вредоносные пакеты. Мы будем постоянно обновлять список IOC и пакетов в этом отчете.
Наша команда смогла попасть в "зал славы" злоумышленника, где мы увидели сотни успешных заражений.
Когда мы продолжили отслеживать и изучать этого вредоносного пользователя и загружаемые им вредоносные пакеты, выяснилось, что злоумышленник использует полиморфное вредоносное ПО (полезная нагрузка меняется при каждой установке), постоянно перезагружается, использует стеганографию для скрытия кода внутри пакетов, создает поддельную репутацию на GitHub.
Цель вредоносной программы - украсть все учетные записи Discord, пароли, криптокошельки, кредитные карты и другие интересные файлы на ПК жертвы и отправить их обратно злоумышленнику через жестко закодированный адрес Discord webhook.
Атака, похоже, связана с киберпреступностью, поскольку злоумышленник утверждает, что эти инструменты невозможно обнаружить, чтобы увеличить продажи.
Эта недавняя атака показывает важность обмена информацией об угрозах в экосистеме с открытым исходным кодом для лучшей защиты от растущего числа злоумышленников.
Список пакетов
| Package Name | Package Version | Created |
| apicolor | 1.2.1 | 2022-10-31T21:32:43.000000 |
| apicolor | 1.2.3 | 2022-11-01T01:32:40.000000 |
| apicolor | 1.2.4 | 2022-11-01T18:48:38.000000 |
| apicolor | 6.6.6 | 2022-11-05T00:00:35.000000 |
| apicolors | 6.6.6 | 2022-11-06T02:00:29.000000 |
| apicolors | 6.6.7 | 2022-11-07T00:32:57.000000 |
| ascii2art | 4.1 | 2022-11-14T13:21:13.000000 |
| blockcypher-lib | 1.0.93 | 2022-11-14T13:54:09.000000 |
| colorapi | 0.0.1 | 2022-11-13T22:03:05.000000 |
| colorps | 0.0.1 | 2022-11-14T03:36:03.000000 |
| colorsapi | 6.6.7 | 2022-11-09T00:48:44.000000 |
| crypto-payments | 1.1.2 | 2022-11-14T13:51:08.000000 |
| discord-api-wrapper | 1.0.0 | 2022-11-14T12:45:07.000000 |
| coloroma | 0.0.1 | 2022-11-12T11:15:05.000000 |
| coloroma | 0.0.2 | 2022-11-14T18:34:48.000000 |
| colurama | 0.0.2 | 2022-11-15T12:29:50.000000 |
| colurama | 0.0.3 | 2022-11-15T12:57:11.000000 |
| cryptlib | 0.0.1 | 2022-11-12T15:08:06.000000 |
| cryptlib | 0.0.2 | 2022-11-12T16:00:54.000000 |
| cryptlib | 0.0.3 | 2022-11-12T20:20:40.000000 |
| cryptlib | 0.0.4 | 2022-11-15T13:03:54.000000 |
| colorarise | 0.0.1 | 2022-11-15T18:33:45.000000 |
| randomized | 0.0.3 | 2022-11-15T21:18:08.000000 |
| tiktok-filter-api | 2 | 2022-11-12T02:06:08.000000 |
| tiktok-filter-api | 2.28.1 | 2022-11-12T02:45:00.000000 |
| pyshftuler | 2.28.1 | 2022-11-12T21:42:00.000000 |
| pywale | 2.28.1 | 2022-11-05T04:16:00.000000 |
Indicators of Compromise
Domains
- misogyny.wtf
URLs
- http://misogyny.wtf/grab/UsRjS959Rqm4sPG4
- http://misogyny.wtf/inject/UsRjS959Rqm4sPG4
- http://misogyny.wtf:2020/copy
- http://misogyny.wtf:2020/parser
- http://misogyny.wtf:8080/
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513531667726336/UPDATE.exe
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513532061978685/FEED.exe
- https://i.imgur.com/xbQ1J4D.png