悪意のある PyPi パッケージ内の W4SP Stealer マルウェアの標的となる開発者

Python Package Index (PyPI) で、無防備な開発者からパスワード、Discord 認証 Cookie、暗号通貨ウォレットを盗む 5 つの悪意のあるパッケージが見つかりました。

PyPI は、Python プログラミング言語で作成されたパッケージのソフトウェアリポジトリです。インデックスは 200,000 個のパッケージをホストしているため、開発者はさまざまなプロジェクト要件を満たす既存のパッケージを見つけることができ、時間と労力を節約できます。

2023 年 1 月 27 日から 1 月 29 日の間に、脅威アクターが、情報を盗むマルウェア「W4SP Stealer」を含む 5 つの悪意のあるパッケージを PyPi にアップロードしました。

パッケージはその後削除されましたが、すでに何百人ものソフトウェア開発者によってダウンロードされています。これら 5 つのパッケージとそのダウンロード統計は次のとおりです。

これらのダウンロードの大部分は、パッケージの最初のアップロード後の最初の数日間に発生しました。これにより、これらの悪意のあるアクターは、禁止されたときに新しいパッケージと新しいアカウントを介して同じコードを PyPI にアップロードしようとするようになります。

パスワードスティーラーを隠す

Fortinetのセキュリティ研究者がパッケージを発見し、それらがインストールされると、ブラウザー、Cookie、および暗号通貨ウォレットに保存されたパスワードを盗もうとすることを発見しました。

フォーティネットは、情報を盗むマルウェアの種類を特定していませんが、そのマルウェアをPyPI 上のパッケージで頻繁に悪用されている W4SP Stealer として特定しました。

このマルウェアはまず、Google Chrome、Opera、Brave Browser、Yandex Browser、Microsoft Edge などの Web ブラウザーからデータを盗みます。

次に、Discord、Discord PTB、Discord Canary、LightCord クライアントから認証 Cookie を盗もうとします。

最後に、マルウェアは、以下に示すように、The Nations Glory オンラインゲームの Atomic Wallet および Exodus 暗号通貨ウォレットと Cookie を盗もうとします。

さらに、マルウェアは Web サイトのリストを標的にして、オペレーターがアカウントを盗むのに役立つ機密性の高いユーザー情報を取得しようとします。

標的となったサイトには次のようなものがあります。

侵入先のマシンで見つかったすべてのデータを収集した後、マルウェアはその「アップロード」機能を使用して、盗んだデータを Discord Webhook を使用してアップロードし、攻撃者のサーバーに投稿します。

Discord Webhook を使用すると、ユーザーはファイルを含むメッセージを Discord サーバーに送信でき、ファイル、Discord トークン、およびその他の情報を盗むために悪用されることがよくあります。

フォーティネットはまた、特定のキーワードについてファイルをチェックし、見つかった場合は「transfer.sh」ファイル転送サービスを使用してそれらを盗もうとする機能の存在にも気付きました。キーワードは、バンキング、パスワード、PayPal、暗号通貨、および多要素認証ファイルに関連しています。

特に興味深いのは、一部のキーワードがフランス語であることです。これは、攻撃者がフランス出身である可能性を示しています。

データ盗難の対象となるキーワードの完全なリストを以下に示します。

現在、PyPi や NPM などのパッケージリポジトリがマルウェアの配布に広く使用されているため、開発者はパッケージをプロジェクトに追加する前にパッケージ内のコードを分析する必要があります。

ダウンロードしたパッケージに難読化されたコードまたは異常な動作が存在する場合は、使用せず、代わりにリポジトリで報告する必要があります。