Python Package Index è pieno di infostealer. 116 Pacchetti Python Contaminati dal Malware

Redazione RHC : 9 Gennaio 2024 07:44

ESET ha recentemente scoperto nel repository Python Package Index (PyPI) un insieme di 116 malware. Si annidavano in pacchetti, progettati per infettare i sistemi Windows e Linux utilizzando una speciale backdoor.

In alcuni casi, il payload finale è una variante del W4SP Stealer o un semplice monitor degli appunti per rubare criptovaluta, o entrambi. Si stima che i pacchetti siano stati scaricati più di 10.000 volte da maggio 2023.

È stato osservato che gli aggressori dietro questa attività hanno utilizzato tre metodi per raggruppare codice dannoso nei pacchetti Python, ovvero utilizzando lo script “test.py”.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Indipendentemente dal metodo utilizzato, l’obiettivo finale della campagna è infettare l’host bersaglio con malware. Principalmente una backdoor in grado di eseguire comandi da remoto, rubare dati e acquisire screenshot. Il modulo backdoor è implementato in Python per Windows e Go per Linux.

Inoltre, le catene di attacco terminano anche con l’implementazione di W4SP Stealer o Clipper, progettato per monitorare da vicino gli appunti della vittima. Inoltre consentono di sostituire l’indirizzo del portafoglio copiato con l’indirizzo dell’aggressore.

Lo sviluppo è l’ultimo di un’ondata di pacchetti Python compromessi che gli aggressori hanno rilasciato per compromettere l’ecosistema open source e distribuire malware per attacchi alla catena di fornitura. Pertanto, gli sviluppatori Python dovrebbero controllare attentamente il codice scaricato prima di installarlo sui propri sistemi.

Abbiamo già scritto dei pacchetti dannosi nel repository PyPI in passato.

Ad esempio, 5 pacchetti scoperti alla fine di gennaio contenevano l’infostealer W4SP Stealer. A novembre si è saputo che i pacchetti mascherati da popolari librerie Python avevano attirato migliaia di download in tutto il mondo. Durante l’ondata di infezioni sono stati rubati dati e criptovalute di esperti informatici.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli