da Hardware Upgrade :
I ricercatori di sicurezza di Synk
hanno scoperto l’esistenza di una dozzina di pacchetti PyPi dannosi
che installano malware che va a modificare il client Discord in
maniera che possa agire da backdoor per il furto di informazioni da browser
Web e da Roblox.
I dodici pacccchetti sono stati caricati lo scorso 1 agosto su Python
Package Index ad opera di un utente con il nickname di “scarycoder”.
Questi pacchetti fingono di essere strumenti Roblox, ma in realt
installano un malware dedito al furto di password sui dispositivi degli
sviluppatori che, tratti in inganno dalle funzionalit promesse, li
scaricano. I ricercatori hanno analizzato i pacchetti trovando che il
codice nascosto nel file setup.py viene usato per installare i due
eseguibili ZYXMN.exe e ZYRBX.exe.
Il primo di essi viene usato per sottrarre informazioni dai browser web Google
Chrome, Chromium, Microsoft Edge, Firefox e Opera e andando a
prendere di mira in particolare le password memorizzate, la cronologia del
browser, i cookie e la cronologia delle ricerche dopo aver decifrato la
chiave principale del database locale del browser.
Le informazioni raccolte dal malware vengono trasferite quindi agli
attori di minaccia tramte un webhook Discord. Ma non finita qui: il
malware si premura di modificare i file JavaScript usati dal client
Discord cos da poter iniettare una backdoor per sottrarre informazioni
direttamente dall’account Discord.
Il secondo malware invece interamente dedicato a Roblox, con
l’obiettivo di sottrarre il cookie dell’account, l’ID utente, il saldo
Robux e lo stato Premium dell’account della piattaforma di gioco. Anche in
questo caso gli elementi vengono passati in un webhook Discord per
metterli a disposizione degli aggressori.
Anche i ricercatori Kaspersky
hanno individuato altri due pacchetti PyPi che contengono malware per il
furto di informazioni e modificano il client Discord, in particolare con
l’obiettivo di raccogliere credenziali di account di Steam, di
Minecraft e di wallet di criptovalute. In aggiunta un altro script
si occupa di monitorare gli input dell’utente che possono corrispondere ad
indirizzi e-mail, password e informazioni di pagamento.
Al momento i pacchetti individuati dai ricercatori di Synk e Kaspersky
sono stati rimossi, ma non senza una certa latenza dal momento della loro
scoperta. Il Python Package Index, del resto, gestito in maniera
volontaria e con risorse limitate da un piccolo gruppo di sviluppatori
tramite la Python Software Foundation, e spesso coloro i quali sono armati
delle peggiori intenzioni lo prendono insistentemente di mira caricando
senza sosta pacchetti dannosi, complicando le operazioni di bonifica.