Атака на цепочки поставок с помощью новых вредоносных пакетов Python

Spyware IOC

Команда FortiGuard Labs недавно обнаружила несколько новых атак 0-day в пакетах PyPI (Python Package Index) автора вредоносного ПО 'Core1337', который опубликовал следующие пакеты: '3m-promo-gen-api', 'Ai-Solver-gen', 'hypixel-coins', 'httpxrequesterv2' и 'httpxrequester'. Эти атаки были опубликованы в период с 27 по 29 января 2023 года. Каждый пакет имел одну версию и пустое описание, и все они содержали схожий вредоносный код.

Каждый пакет включает аналогичный код в свой setup.py, за исключением URL webhook. Изучение URL показывает, что он может быть связан с вредоносной программой "Spidey Bot", известной кражей личной информации через Discord.

Когда FortiGuard Labs проводили статический анализ, просматривая его сценарий setup.py,  FortiGuard Labs обнаружили несколько потенциально вредоносных действий, описанных ниже.

Глядя на основную функцию, FortiGuard Labs получили общее представление о поведении вредоносного ПО, которое может пытаться получить конфиденциальную информацию из различных браузеров и Discord и сохранить ее в файл для последующей эксфильтрации.

Например, функция 'getPassw', пытается собрать информацию о пользователях и паролях из браузеров, а затем сохранить ее в текстовом файле. Вредоносная программа называет себя 'Fade Stealer', что видно, когда она пишет свое имя в верхней части текстового файла. Аналогичное поведение наблюдается в ее функции 'getCookie'.

Функции 'Kiwi', 'KiwiFile' и 'uploadToAnonfiles' можно с уверенностью предположить, что он просматривает определенные папки и подбирает определенные имена файлов для передачи через файлообменный сайт 'https://transfer.sh/'. Многие из этих ключевых слов связаны с логинами, аккаунтами, банками и т.д.

Один автор вредоносного ПО опубликовал несколько пакетов с совершенно разными названиями, но с похожими кодами, предназначенными для запуска атак. Авторы вредоносного ПО могут выполнять вредоносные атаки с помощью одного скрипта python, например, красть конфиденциальную информацию с помощью веб-крючков на Discord.

Indicators of Compromise

URLs

https://discord.com/api/webhooks/1069214746395562004/sejnJnNA3lWgkWC4V86RaFzaiUQ3dIAG958qwAUkLCkYjJ7scZhoa-KkRgBOhQw8Ecqd

SHA256

915b75ea258a42c5c1916d18a42302bbafa960bdafea1588b772d5284eec1997

SEC-1275-1
Добавить комментарий