Как за $20 взломать сотни IT-компаний мира

Исследователи из ИБ-компании Checkmarx выяснили подробности продолжающейся атаки на цепочку поставок, которая использует вредоносные PyPI-пакеты для распространения вредоносного ПО W4SP Stealer , и на сегодняшний день жертвами злоумышленников стали более 100 жертв. По словам эксперта Checkmarx Йоссефа Харуш, кибепреступник по-прежнему активен и выпускает новые вредоносные пакеты. Харуш назвал злоумышленника «WASP».

Эта кампания примечательна тем, что она использует стеганографию для извлечения полезной нагрузки W4SP Stealer , скрытой в файле изображения. Установка PyPI-пакета в конечном итоге приводит к заражению W4SP Stealer (также известного как WASP Stealer). Инфостилер предназначен для эксфильтрации в Discord Webhook учетных записей Discord, паролей, криптокошельков и других файлов.

15 ноября оператор WASP загрузил новые PyPI-библиотеки, использующие StarJacking — метод, при котором пакет публикуется с URL-адресом, который указывает на популярный репозиторий.

Анализ Checkmarx также выявил Discord-сервер злоумышленника, которым управляет пользователь по имени «Alpha.#0001», а также различные поддельные профили GitHub, предназначенные для заманивания разработчиков к загрузке вредоносного ПО.

Кроме того, на своем Discord-канале Alpha.#0001 рекламирует «полностью необнаруживаемый» пакет за $20, а также регулярно выпускает новые пакеты под разными именами, как только они удаляются из PyPI.