Een actieve malwarecampagne is gericht op officiële Python- en JavaScript-repositories. De campagne was opgevallen door Phylum, beveiligingsbedrijf voor de toeleveringsketen van software. Phylum zei dat het de campagne ontdekte nadat het een vlaag van activiteit had opgemerkt rond typosquats van het populaire Python –request pakket.
Typosquats profiteren van eenvoudige typefouten om kwaadaardige pakketten te installeren.
In dit geval omvatten de typefouten van PyPI: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr, en vragen.
Phylum ontdekte later dat de aanvaller de volgende NPM-pakketten publiceerde die ook profiteren van typosquatting: discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd en telnservrr.
Als klonen van de officiële bibliotheken blijven ze vaak onopgemerkt totdat het te laat is.
Afhankelijk van het besturingssysteem van het apparaat van het slachtoffer, downloadt deze specifieke malware een relevante Golang binary. Wanneer uitgevoerd, wordt de bureaubladachtergrond van de computer van het slachtoffer bijgewerkt met een nep-CIA-afbeelding en zal de malware proberen sommige bestanden te versleutelen.
Een README-bestand wordt door de malware op de desktop geplaatst die de gebruiker vraagt om contact op te nemen met de persoon op Telegram en “een kleine vergoeding van $ 100” te betalen in BTC, ETH, LTC of XMR. Als u dit niet doet, wordt de decoderingssleutel verwijderd, beweert de aanvaller.
Volgens Phylum is de aanval gaande (13 december 2022), maar is er een nieuwe versie van de ransomware uitgebracht die ook de ondersteunde architecturen heeft beperkt.
Bron: Phyplum blog | Developer Tech News