2 min Security

Onderzoekers vinden infostealers in PyPI packages

Onderzoekers vinden infostealers in PyPI packages

Securitybedrijf Phylum heeft zes schadelijke packages ontdekt op de Python Package Index (PyPI). De packages verspreidden infostealers en remote access trojans onder developers.

De ontwikkelaars van de packages probeerden gevoelige browsergegevens te stelen, shell commands uit te voeren en keyloggers te installeren. De eerste kwaadaardige packages verschenen op 22 december in PyPI. Het team van securitybedrijf Phylum controleert de repository regelmatig op nieuwe bedreigingen.

Phylum ontdekte een reeks van zes packages, bestaand uit pyrologin (165 downloads), easytimestamp (141), discorder (83), discord-dev (228), style.py (193) en pythonstyles (130). Alle gevonden packages zijn verwijderd van PyPI. Geïnfecteerde gebruikers zullen de packages handmatig moeten verwijderen.

Onder de motorkap

Een versleutelde string in het installatieprogramma (setup.py) bevat een PowerShell-script. Het script downloadt een ZIP-bestand van een externe bron, pakt het bestand uit in een local temp directory, installeert dependencies en haalt aanvullende Python packages op voor remote access en screenshots.

Gestolen gegevens bestaan uit cryptocurrency wallets, browser cookies, wachtwoorden, Discord tokens en meer. De gegevens worden naar de aanvallers verzonden via ’transfer[.]sh’. De software pingt een onion site zodra het proces is voltooid.

Aanhoudend probleem

Onderzoekers stuitten in 2022 regelmatig op kwaadaardige packages in PyPI. De nieuwe vondst van Phylium onderstreept een aanhoudend probleem.

Het verwijderen van packages en verbannen van bijbehorende accounts is geen langetermijnoplossing, want aanvallers kunnen gemakkelijk terugkeren onder andere namen. Geïnfecteerde ontwikkelaars moeten de packages en achterblijvende sporen handmatig verwijderen.

Tip: Cybercriminelen verspreiden malware met tientallen PyPi packages