- Onderzoekers vonden drie kwaadaardige PYPI -pakketten, twee targeting bitcoin -ontwikkelaars en een WooCommerce -winkels
- Twee zijn ontworpen om gegevens te stelen, en de derde om te testen op geldige creditcards
- Sindsdien zijn alle drie verwijderd uit de repository
Meerdere open source softwarepakketten op de Python Package Index (PYPI) -repository bleken kwaadaardig te zijn, waarschijnlijk duizenden apparaten in gevaar brengen, hebben experts gewaarschuwd.
Cybersecurity-onderzoekers van ReversingLabs vonden twee kwaadaardige pakketten, “Bitcoinlibdbfix” en “Bitcoinlib-Dev”, die cumulatief ongeveer 2.000 downloads hebben.
Ze beweren een oplossing te zijn voor een legitieme Python -module genaamd “Bitcoinlib”, die functies bevat voor het maken en beheren van cryptocurrency -portefeuilles.
WooCommerce -winkels worden ook aangevallen
Onlangs besprak de gemeenschap een probleem met betrekking tot hoe het pakket foutmeldingen genereert.
De boeven zagen dit als een kans, creëerden de twee kwaadaardige pakketten en sprongen in het gesprek in een poging ze te verspreiden. Het lijkt niet te hebben gewerkt: “De kwaadaardige inhoud van die bibliotheek werd gedetecteerd door de bijdragers van de pakket en de opmerkingen zijn verwijderd,” zei Reversinglabs.
Beide bibliotheken probeerden een vergelijkbare aanval, legden de onderzoekers verder uit. Het idee was om de legitieme ‘CLW CLI’ -opdracht te overschrijven met kwaadaardige code, exfiltrerende gevoelige databasebestanden.
Tegelijkertijd vonden onderzoekers van Socket een derde pakket, dat zich niet richt op Bitcoin -ontwikkelaars, maar eerder WooCommerce -winkels. Bovendien probeert dit pakket niet eens zijn ware bedoelingen te verbergen en is in plaats daarvan “openlijk kwaad”. Ondanks dat het voor de hand liggende malware was, slaagde het er nog steeds in om 37.217 downloads te harken.
De malware wordt “DisGrasya” genoemd en werkt als een volledig geautomatiseerd kaartscript. “De kwaadaardige lading werd geïntroduceerd in versie 7.36.9 en alle volgende versies droegen dezelfde ingebedde aanvalslogica,” zei Socket.
Carding is een type cybercriminaliteit waarbij gestolen creditcardinformatie wordt gebruikt om ongeautoriseerde aankopen te doen of te testen als de kaart nog steeds actief is. Aangezien criminelen deze kaartgegevens vaak van het donkere web kopen, had degene die Disgrasya heeft gebouwd en gedistribueerd, er veel van kunnen hebben geprofiteerd.
Via The Hacker News
