Istraživači cyber sigurnosti otkrili su zlonamjerni Python paket učitan u skladište Python Package Index (PyPI) koji je dizajniran da isporuči alat za krađu informacija pod nazivom Lumma (aka LummaC2).
Paket o kojem je riječ je crytic-compilers, typosquatted verzija legitimne biblioteke pod nazivom crytic-compile. Lažni paket je preuzet 441 put prije nego što su ga uklonili PyPI maintainers.
„Falsifikovana biblioteka je interesantna po tome što, pored toga što je nazvana po legitimnom Pythonovom uslužnom programu, ‘crytic-compile,’ usklađuje svoje brojeve verzije sa pravom bibliotekom,” rekao je istraživač sigurnosti Sonatype Ax Sharma.
“Dok se najnovija verzija prave biblioteke zaustavlja na 0.3.7, krivotvorena verzija ‘crytic-compilers’ počinje upravo ovdje i završava se na 0.3.11 – što odaje utisak da je ovo novija verzija komponente.”
U daljnjem pokušaju da se zadrži lukavstvo, pronađene su neke verzije crytic-compilera (npr. 0.3.9) koje instaliraju stvarni paket pomoću modifikacije skripte setup.py.
Najnovija verzija, međutim, odbacuje svaki pretvaranje benigne biblioteke utvrđivanjem da li je operativni sistem Windows, i ako jeste, pokreće izvršni fajl (“s.exe”), koji je, zauzvrat, dizajniran da dohvati dodatne korisne podatke, uključujući Lumma Stealer.
Kradljivac informacija dostupan drugim kriminalnim hakerima prema modelu malware-as-a-service (MaaS), Lumma se distribuira putem različitih metoda kao što su trojanizirani softver, zlonamjerno oglašavanje, pa čak i lažna ažuriranja pretraživača.
Otkriće “pokazuje da iskusni hakeri sada ciljaju Python programere i zloupotrebljavaju registre otvorenog koda kao što je PyPI kao distribucijski kanal za svoj moćni arsenal krađe podataka”, rekao je Sharma.
Lažne kampanje ažuriranja pretraživača ciljaju stotine WordPress stranica
Razvoj dolazi kada je Sucuri otkrio da je više od 300 WordPress stranica kompromitovano zlonamjernim iskačućim prozorima za ažuriranje Google Chrome koji preusmjeravaju posjetitelje stranice na lažne instalatere MSIX-a koji dovode do primjene kradljivaca informacija i trojanaca za daljinski pristup.
Lanci napada uključuju dahakeri dobiju neovlašteni pristup admin interfejsu WordPress-a i instaliraju legitimni WordPress dodatak pod nazivom Hustle – Email Marketing, Lead Generation, Optins, Popups kako bi učitali kod odgovoran za prikazivanje lažnih iskačućih prozora za ažuriranje pretraživača.
“Ova kampanja naglašava rastući trend među hakerima da iskoriste legitimne dodatke u zlonamjerne svrhe”, rekao je istraživač sigurnosti Puja Srivastava. „Na taj način mogu izbjeći otkrivanje od strane skenera datoteka, jer većina dodataka pohranjuje svoje podatke u WordPress bazi podataka.”
Izvor:The Hacker News
