В PyPI обнаружены еще два вредоносных пакета Python, маскирующихся под один из самых популярных пакетов с открытым исходным кодом под названием "requests". Описание содержит поддельную статистику, будто пакет был установлен 230 миллионов раз за месяц и имеет более 48000 "звезд" на GitHub. Все упоминания названия легитимного пакета заменены на название вредоносного.
После загрузки вредоносного пакета становится ясно, что его исходный код практически идентичен коду легитимного пакета "requests", за исключением одного файла: "exception.py". Вредоносная полезная нагрузка представляет собой Base64-кодированный Python-скрипт, скрытый в классе "HTTPError". Сценарий записывает другой однострочный сценарий Python во временный файл, а затем запускает этот файл, который, в свою очередь, загружает сценарий следующего этапа.
Следующий этап - это загрузчик, обфусцированный с помощью общедоступного инструмента под названием Hyperion. Обфускация осуществляется с помощью нескольких методов, таких как переименование переменных и библиотечных функций, добавление смешанных булево-арифметических выражений и нежелательного кода, а также сжатие фрагментов кода с помощью библиотеки zlib.
Конечной полезной нагрузкой является троянец, написанный на языке Python и обфусцированный тем же обфускатором, что и загрузчик. Вредоносная программа названа автором в коде "W4SP Stealer". Стиллер создает и отправляет список сохраненных учетных данных браузера для URL-адресов, содержащих ключевые слова "почта", "карта", "банк", "купить", "продать" и т. д. Кроме того, он собирает данные из кошельков MetaMask, Atomic и Exodus, а также учетные данные Steam и Minecraft.
Indicators of Compromise
Domains
- zerotwo-best-waifu.online
URLs
- https://zerotwo-best-waifu.online/778112985743251/wap/enner/injector
- https://zerotwo-best-waifu.online/778112985743251/wap/shatlegay/stealer123365
MD5
- 34c9d77afd77611ce55716f23594275a
- 42f0f3b4d5a2be7f09d1c02668cb2c08
- 556ee928fbffd4bbd1cec282ec1a5bb3
- d7b6df674690c2e81c72ea031ed44a6f
- f2102dee0caba546ef98b47b373bab9a