В начале ноября в открытом репозитории Python Package Index (PyPI) было обнаружено несколько вредоносных python-пакетов, распространяющих вредоносное ПО W4SP. Эти пакеты содержат вредоносный код, скрытый в скриптах init.py или setup.py, который загружает полезную нагрузку второй стадии с удаленного места. Полезная нагрузка второй стадии представляет собой W4SP-Stealer, способный похитить широкий спектр конфиденциальных данных, включая сохраненные пароли, cookies, токены Discord, криптокошельки, данные Telegram и длинный список файлов, связанных с различными веб-сервисами. Эта вредоносная программа на языке Python содержит несколько уровней обфускации, чтобы избежать обнаружения.
Несмотря на раскрытие информации компаниями Phylum и Checkmarx, атака на цепочки поставок продолжается. Дальнейшее расследование ReversingLabs выявило 10 ранее нераскрытых пакетов Python, которые, похоже, являются частью той же кампании, но продвигают слегка измененную версию W4SP Stealer и полагаются на другую инфраструктуру командования и управления (C2).
Indicators of Compromise
IPv4
- 185.112.83.115
- 206.189.80.30
Domains
- misogyny.wtf
- plague.fun
- wasp.plague.fun
URLs
- http://misogyny.wtf/grab/UsRjS959Rqm4sPG4
- http://misogyny.wtf/inject/UsRjS959Rqm4sPG4
- http://misogyny.wtf:2020/copy
- http://misogyny.wtf:2020/parser
- http://misogyny.wtf:8080/
- http://wasp.plague.fun/inject/
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513531667726336/UPDATE.exe
- https://cdn.discordapp.com/attachments/1039182045575925784/1039513532061978685/FEED.exe
SHA1
- 01c7251610510bd0f122e7b11cb05d6a07baa317
- 0717a5fe9dd8ca6cb20d2bc1e78108e4ae8fd057
- 07b64e16e08605da5b16d592ed0a954b75136e48
- 25a4146e81147ba0b3043e3f90c775d15ba134a7
- 26f0844b44f1ca02d9724da894e7d1ca66111b79
- 2ea977718fb9d131799a61a1d9ce872076d43628
- 42fff691ca7c67144ef25084ac7c262606b963ff
- 4461e37aaf15ae350b5b3068babdf758dee6fe87
- 4742cfe83d8e9ebf6590b1ed553d804e343d2b72
- 56932c92f9d389252f9a84e128696bdb298263d0
- 589dd13059f63c09ff281d9106122f29c59fa4c9
- 5ada51df30f972ea27bfa55799e8bf4d2dcdc39c
- 723dfe8bdb6ca2ce1d41a3dc36177357300714bb
- 745f78c9fa96c4133ac5fe8b580b28c93d6bdd1e
- 750b1ba531e59ddc51d75b1fe48025f27f8157dc
- 7ba6cbb93ad96f7f4e8a0e04b8fc6a317579e933
- 8b83dc33acc228f321e18f7e2b8722123ee19611
- 8f7b0902135f172a11a869acb02ebed32a3d9459
- 94376c20c5e65419dde80e6125fb6e03e9bf4698
- a2840950dcc021012414c5cadfc07e111ccbf27b
- a829c65a2fbf63fe7e19d42bb8715feaaf6614bf
- aacc3639677d6f7c307de37c57b68ed15187bde4
- acf42993259db2998c4c7960f3529412b740baaf
- b57d662cc5814b7e6ab2f7bccd6e0b7e5d778610
- b6d0a1dce731563abbf1bce0c6c229edcb6da9e0
- c6a1b89578f75b8a7208f2d65eb8485301e2b74b
- c71b137da681681507379205aaa91b7b5ff95457
- ceb389fe35a02b23bc57417c121f13a18c5bca6c
- d5056548377c32149ab814d658395842bf64d93d
- dcfd849cfe2a14137858db35201427af99170555
- f3d2639b15bf1ef9233787db092e2868554c64f3
- f44cf80ce3a162f2354d5b60f8d48eb09760edb9
- f6849ddf8b5f043b7499e239092ffeee91da2e47