Il malware BlazeStealer individuato in pacchetti Python su PyPI

Sono ben otto i pacchetti Python malevoli utilizzati per diffondere il malware BlazeStealer: ecco la tattica di diffusione adottata dai cybercriminali.
Marco Ponteprino
Pubblicato il 9 nov 2023
Il malware BlazeStealer individuato in pacchetti Python su PyPI
pixabay.com

Grazie al lavoro dei ricercatori di Checkmarx è stato possibile individuare una serie di pacchetti Python dannosi presenti repository Python Package Index (PyPI). Questi sono stati preparati appositamente con il fine di rubare dati sensibili dai computer degli sviluppatori.

I pacchetti in questione, a prima vista, risultano degli strumenti di offuscamento del tutto innocui. In realtà, però, una volta che gli esperti hanno analizzato gli stessi, hanno scoperto che ospitano il malware BlazeStealer.

Yehuda Gelb, ricercatore di sicurezza coinvolto nell’analisi, ha affermato come l’agente malevolo in questione agisce scaricando un ulteriore script da fonte esterna. Il tutto abilitando un bot Discord, attraverso cui gli aggressori riescono a prendere controllo del sistema della vittima.

L’operazione dei cybercriminali sembra essere stata avviata dallo scorso mese di gennaio. L’analisi ha portato a galla ben otto pacchetti utilizzati per la diffusione di BlazeStealer, ovvero:

  • Pyobftoexe
  • Pyobfusfile
  • Pyobfexecute
  • Pyobfpremium
  • Pyobflite
  • Pyobfadvance
  • Pyobfuse
  • Pyobfgood (pubblicato ad ottobre).

Questi moduli vengono forniti con i file setup.py e init.py, progettati per recuperare uno script Python. Quest’ultimo viene eseguito subito dopo l’installazione dei pacchetti incriminati.

BlazeStealer: gli 8 pacchetti incriminati sono stati scaricati 2.438 volte

Una volta completata l’infezione, BlazeStealer è pronto ad agire, eseguendo un bot Discord. Lo stesso va a rubare informazioni dal computer della vittima, non risparmiando password, screenshot e altri dati sensibili. I cybercriminali possono agire sotto svariati punti di vista, eseguendo comandi arbitrari ma anche crittografando file, fino alla possibilità di disattivare Microsoft Defender.

A rendere particolarmente infido questo malware vi è il fatto che prende di mira programmatori e sviluppatori. Secondo Gelb, tutto ciò non è frutto del caso “È ovvio che gli sviluppatori impegnati nell’offuscamento del codice probabilmente hanno a che fare con informazioni preziose e sensibili e quindi, per un hacker, questo si traduce in un obiettivo che vale la pena perseguire“, ha osservato il ricercatore.

Anche per quanto riguarda i numeri, l’operato di BlazeStealer desta una certa preoccupazione: prima della rimozione, infatti, i pacchetti incriminati sono stati scaricati per ben 2.438 volte.

Fonte: thehackernews.com

Ti consigliamo anche

Hotpatch per Windows 11: Microsoft lo abiliti per tutti i professionisti!
Business

Hotpatch per Windows 11: Microsoft lo abiliti per tutti i professionisti!
Utenti Mac in pericolo per due exploit zero-day: corsa agli aggiornamenti
Vulnerabilità

Utenti Mac in pericolo per due exploit zero-day: corsa agli aggiornamenti
Falsa pubblicità su Facebook: la truffa deruba gli utenti in questo modo
Sicurezza

Falsa pubblicità su Facebook: la truffa deruba gli utenti in questo modo
Hacker diffondono codici QR dannosi tramite posta cartacea
Vulnerabilità

Hacker diffondono codici QR dannosi tramite posta cartacea
Link copiato negli appunti