Các nhà nghiên cứu an ninh mạng đã phát hiện ra 29 gói trong Python Package Index (PyPI), kho lưu trữ phần mềm chính thức của bên thứ ba cho ngôn ngữ lập trình Python, nhằm mục đích lây nhiễm phần mềm độc hại vào máy của các nhà phát triển có tênW4SP Stealer.
"Cuộc tấn công chính dường như đã bắt đầu vào khoảng ngày 12 tháng 10 năm 2022, từ từ bốc hơi đến một nỗ lực tập trung vào khoảng ngày 22 tháng 10," công ty bảo mật chuỗi cung ứng phần mềm Phylum cho biết trong một báo cáo được công bố trong tuần này.
Danh sách các gói vi phạm như sau: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color và pyhints.
Nói chung, các gói đã được tải xuống hơn 5,700 lần, với một số thư viện (ví dụ: twyne và colorsama) dựa vào việc đánh máy để lừa những người dùng không nghi ngờ tải chúng xuống.
Các mô-đun gian lận sử dụng lại các thư viện hợp pháp hiện có bằng cách chèn một câu lệnh nhập độc hại vào tập lệnh "setup.py" của các gói để khởi chạy một đoạn mã Python tìm nạp phần mềm độc hại từ một máy chủ từ xa.
W4SP Stealer, một trojan dựa trên Python mã nguồn mở, đi kèm với khả năng đánh cắp các tệp quan tâm, mật khẩu, cookie trình duyệt, siêu dữ liệu hệ thống, mã thông báo Discord, cũng như dữ liệu từ ví tiền điện tử MetaMask, Atomic và Exodus.
Đây không phải là lần đầu tiên W4SP Stealer được phân phối thông qua các gói có vẻ lành tính trong kho lưu trữ PyPI. Vào tháng 8, Kaspersky đã phát hiện ra hai thư viện có tên pyquest và ultrarequests được tìm thấy để triển khai phần mềm độc hại dưới dạng tải trọng cuối cùng.
Các phát hiện minh họa việc tiếp tục lạm dụnghệ sinh thái nguồn mở để tuyên truyền các gói độc hại được thiết kế để thu thập thông tin nhạy cảm và nhường chỗ cho các cuộc tấn công chuỗi cung ứng.
"Vì đây là một cuộc tấn công đang diễn ra với chiến thuật thay đổi liên tục từ một kẻ tấn công quyết tâm, chúng tôi nghi ngờ sẽ thấy nhiều phần mềm độc hại như thế này xuất hiện trong tương lai gần," Phylum lưu ý.