Обнаружен новый набор вредоносных PyPi пакетов, нацеленных на Discord и Roblox

На прошлой неделе исследователи из Check Point обнаружили троянизированные пакеты, маскирующиеся под популярные легитимные компоненты и содержащие дропперы для инфостилеров. Эта находка побудила аналитиков ЛК продолжить поиски вредоносных пакетов в репозитории PyPi , в результате которых были обнаружены фейковые пакеты "pyrequests" и "ultrarequests", выдающие себя за “requests” – один из самых популярных пакетов в PyPi.

Чтобы обмануть жертв, злоумышленники добавляли в свои пакеты фейковую статистику и описание, взятое из “requests”, которое содержало ссылки на веб-страницы оригинального пакета и электронную почту разработчика.

Как только жертва устанавливала вредоносный пакет, ее систему заражал инфостилер W4SP, с помощью которого злоумышленники крали токены Discord , а также cookie-файлы и пароли из браузеров.

Исследователи из Synk тоже обнаружили около десятка вредоносных PyPi-пакетов, которые используются для кражи учетных и платежных данных пользователей Discord и Roblox.

На данный момент все обнаруженные вредоносные пакеты удалены из PyPi.

Напомним, совсем недавно был обнаружен любопытный набор PyPi-пакетов, которые устраивают DDoS-атаки на серверы Counter Strike 1.6. Для их распространения использовался тайпсквоттинг.