Стало известно, кто стоит за первой в истории фишинговой атакой на пользователей PyPI

Связав фишинговую атаку с группировкой под названием JuiceLedger, специалисты из SentinelOne вместе с Checkmarx выяснили, что банда относительно молодая – появилась в начале 2022 года.

По словам исследователей, самые первые кампании группировки были достаточно скромными и включали в себя использование мошеннических приложений-установщиков на Python, которые использовались для развертки вредоноса на базе .NET под названием JuiceStealer, с помощью которой злоумышленники добывали пароли и другие конфиденциальные данные из веб-браузеров жертв.

В прошлом месяце атаки стали значительно опаснее, когда участники группировки JuiceLedger выбрали в качестве цели фишинговой кампании разработчиков пакетов PyPI. В результате этого три пакета были заражены вредоносным ПО.

По мнению одного из исследователей SentinelOne, атаки на разработчиков PyPI-пакетов являются развитием кампании, стартовавшей в начале года и изначально направленной на потенциальных жертв через поддельные приложения для торговли криптовалютой. Возможная цель состоит в том, чтобы заразить как можно больше людей инфостилером с помощью троянизированных и использующих тайпсквоттинг пакетов.

Поскольку атаки с последующим захватом аккаунтов становятся всё популярнее среди злоумышленников, площадка PyPI начала вводить обязательную двухфакторную аутентификацию для разработчиков критически важных проектов.