Команда Fortinet FortiGuard Labs обнаружилав репозитории Python Package Index (PyPI) вредоносные пакеты, которые доставляют в системы Windows инфостилер WhiteSnake Stealer.
Пакеты, содержащие вредоносное ПО, называются nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends и TestLibs111. Они были загружены злоумышленником по имени “WS”. Пакеты включают в свои файлы setup.py исходный код PE (Portable Executable) или других скриптов Python в кодировке Base64. Этот код активируется при установке пакетов на компьютерах пользователей.
На системах Windows вирус WhiteSnake Stealer крадет информацию, а на Linux-системах – запускает Python-скрипт для сбора данных. Атака в первую очередь направлена на пользователей Windows и связана с кампанией, о которой ранее сообщали JFrog и Checkmarx.
Полезная нагрузка, специфичная для Windows, была идентифицирована как вариант вредоносного ПО WhiteSnake, которое имеет механизм защиты от виртуальных машин, взаимодействует с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) по протоколу
Tor рассматривается как анонимная сеть, предоставляющая передачу данных в зашифрованном виде. Широко используется как обычными пользователями, которые стремятся поддерживать анонимность или обходить региональные блокировки, так и киберпреступниками, для которых Tor – единственный способ замести свои цифровые следы и не попасться правоохранителям.