Il malware BlazeStealer individuato in pacchetti Python su PyPI

Sono ben otto i pacchetti Python malevoli utilizzati per diffondere il malware BlazeStealer: ecco la tattica di diffusione adottata dai cybercriminali.
Marco Ponteprino
Pubblicato il 9 nov 2023
Il malware BlazeStealer individuato in pacchetti Python su PyPI
pixabay.com

Grazie al lavoro dei ricercatori di Checkmarx è stato possibile individuare una serie di pacchetti Python dannosi presenti repository Python Package Index (PyPI). Questi sono stati preparati appositamente con il fine di rubare dati sensibili dai computer degli sviluppatori.

I pacchetti in questione, a prima vista, risultano degli strumenti di offuscamento del tutto innocui. In realtà, però, una volta che gli esperti hanno analizzato gli stessi, hanno scoperto che ospitano il malware BlazeStealer.

Yehuda Gelb, ricercatore di sicurezza coinvolto nell’analisi, ha affermato come l’agente malevolo in questione agisce scaricando un ulteriore script da fonte esterna. Il tutto abilitando un bot Discord, attraverso cui gli aggressori riescono a prendere controllo del sistema della vittima.

L’operazione dei cybercriminali sembra essere stata avviata dallo scorso mese di gennaio. L’analisi ha portato a galla ben otto pacchetti utilizzati per la diffusione di BlazeStealer, ovvero:

  • Pyobftoexe
  • Pyobfusfile
  • Pyobfexecute
  • Pyobfpremium
  • Pyobflite
  • Pyobfadvance
  • Pyobfuse
  • Pyobfgood (pubblicato ad ottobre).

Questi moduli vengono forniti con i file setup.py e init.py, progettati per recuperare uno script Python. Quest’ultimo viene eseguito subito dopo l’installazione dei pacchetti incriminati.

BlazeStealer: gli 8 pacchetti incriminati sono stati scaricati 2.438 volte

Una volta completata l’infezione, BlazeStealer è pronto ad agire, eseguendo un bot Discord. Lo stesso va a rubare informazioni dal computer della vittima, non risparmiando password, screenshot e altri dati sensibili. I cybercriminali possono agire sotto svariati punti di vista, eseguendo comandi arbitrari ma anche crittografando file, fino alla possibilità di disattivare Microsoft Defender.

A rendere particolarmente infido questo malware vi è il fatto che prende di mira programmatori e sviluppatori. Secondo Gelb, tutto ciò non è frutto del caso “È ovvio che gli sviluppatori impegnati nell’offuscamento del codice probabilmente hanno a che fare con informazioni preziose e sensibili e quindi, per un hacker, questo si traduce in un obiettivo che vale la pena perseguire“, ha osservato il ricercatore.

Anche per quanto riguarda i numeri, l’operato di BlazeStealer desta una certa preoccupazione: prima della rimozione, infatti, i pacchetti incriminati sono stati scaricati per ben 2.438 volte.

Fonte: thehackernews.com

Ti consigliamo anche

Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Vulnerabilità

Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Sicurezza

Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Vulnerabilità

Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Pericoli del web: questo sito vi dice se i vostri dati sono stati rubati
Sicurezza

Pericoli del web: questo sito vi dice se i vostri dati sono stati rubati
Link copiato negli appunti