Grazie al lavoro dei ricercatori di Checkmarx è stato possibile individuare una serie di pacchetti Python dannosi presenti repository Python Package Index (PyPI). Questi sono stati preparati appositamente con il fine di rubare dati sensibili dai computer degli sviluppatori.
I pacchetti in questione, a prima vista, risultano degli strumenti di offuscamento del tutto innocui. In realtà, però, una volta che gli esperti hanno analizzato gli stessi, hanno scoperto che ospitano il malware BlazeStealer.
Yehuda Gelb, ricercatore di sicurezza coinvolto nell’analisi, ha affermato come l’agente malevolo in questione agisce scaricando un ulteriore script da fonte esterna. Il tutto abilitando un bot Discord, attraverso cui gli aggressori riescono a prendere controllo del sistema della vittima.
L’operazione dei cybercriminali sembra essere stata avviata dallo scorso mese di gennaio. L’analisi ha portato a galla ben otto pacchetti utilizzati per la diffusione di BlazeStealer, ovvero:
- Pyobftoexe
- Pyobfusfile
- Pyobfexecute
- Pyobfpremium
- Pyobflite
- Pyobfadvance
- Pyobfuse
- Pyobfgood (pubblicato ad ottobre).
Questi moduli vengono forniti con i file setup.py e init.py, progettati per recuperare uno script Python. Quest’ultimo viene eseguito subito dopo l’installazione dei pacchetti incriminati.
BlazeStealer: gli 8 pacchetti incriminati sono stati scaricati 2.438 volte
Una volta completata l’infezione, BlazeStealer è pronto ad agire, eseguendo un bot Discord. Lo stesso va a rubare informazioni dal computer della vittima, non risparmiando password, screenshot e altri dati sensibili. I cybercriminali possono agire sotto svariati punti di vista, eseguendo comandi arbitrari ma anche crittografando file, fino alla possibilità di disattivare Microsoft Defender.
A rendere particolarmente infido questo malware vi è il fatto che prende di mira programmatori e sviluppatori. Secondo Gelb, tutto ciò non è frutto del caso “È ovvio che gli sviluppatori impegnati nell’offuscamento del codice probabilmente hanno a che fare con informazioni preziose e sensibili e quindi, per un hacker, questo si traduce in un obiettivo che vale la pena perseguire“, ha osservato il ricercatore.
Anche per quanto riguarda i numeri, l’operato di BlazeStealer desta una certa preoccupazione: prima della rimozione, infatti, i pacchetti incriminati sono stati scaricati per ben 2.438 volte.