PyPI-pakketten op GitHub kunnen WASP-malware bevatten. Het gaat om een trojan die persoonlijke gegevens, inloggegevens en crypto steelt.
Cybersecurity-onderzoekers van Phylum en Check Point kwamen er eerder deze maand al achter dat er nieuwe kwaadaardige pakketten de ronde doen op PyPI. Analisten van Checkmarx leggen nu echter de link dat achter de pakketten dezelfde aanvaller schuilgaat.
De WASP-malware wordt doorverkocht aan hackers voor twintig dollar. Voor dat kleine bedrag krijgt de hacker malware in handen die informatie steelt uit Discord-accounts en wachtwoorden, creditcards, interessante bestanden en cryptowallets doorstuurt. Bovendien glipt de malware ongezien voorbij beveiligingsoplossingen.
Python
PyPI is een opensource repository die ontwikkelaars gebruiken om Python-pakketten door te sturen voor projecten. Python is de op één na meest gebruikte programmeertaal op GitHub. Het succes heeft de taal te danken aan zijn aanwezigheid in verschillende domeinen.
lees ook
GitHub: ‘JavaScript domineert, Python volgt door aanwezigheid in alle domeinen’
Hackers proberen kwaadaardige pakketten mee door te sturen en vermommen ze met een legitiem ogende naam, in de hoop dat het pakket gebruikt wordt in een Python-project. Wordt het pakket geladen dan heeft de hacker een ingang waarlangs deze persoon malware kan binnensluizen.
“Het lijkt erop dat deze aanval lopende is, en telkens wanneer het beveiligingsteam van Python zijn pakketten verwijdert, manoeuvreert hij snel en creëert een nieuwe identiteit of gebruikt gewoon een andere naam”, schrijft Jossef Harush, head of engineering van Checkmarx.