Эксперты компании Checkmarx выявили, что в открытом репозитории Python были обнаружены пакеты, содержащие вредоносный код, предназначенный для кражи криптовалют. С начала апреля 2023 года неизвестные злоумышленники активно размещают инфокрады в репозитории Python с целью похищения конфиденциальной информации и учетных данных, необходимых для доступа к криптовалютным сервисам.
За последние полгода через 272 пакета Python на платформы с открытым доступом к коду были добавлены сотни этих "информационных киберворов", и общее число загрузок этих пакетов составило порядка 75 000.
Вредоносное ПО производит мониторинг буфера обмена жертвы с целью выявления признаков совершения криптовалютных транзакций и адресов криптокошельков. Затем оно подменяет исходные адреса и направляет активы на кошельки, принадлежащие злоумышленникам. С помощью этого метода преступникам удалось похитить более $100 000 в криптовалюте.
Вредоносное ПО также проверяет, активен ли антивирус на скомпрометированном устройстве, и, при необходимости, отключает его. Оно имеет доступ к спискам задач, паролям Wi-Fi, системной информации, учетным данным, истории посещений, файлам cookie и платежной информации в браузере. Кроме того, оно собирает данные о криптовалютных транзакциях и паролях к приложениям, а также сведения о контактах в Discord, номерах телефонов, адресах электронной почты, информации из Minecraft и Roblox. При необходимости вредоносное ПО способно делать снимки экрана или непосредственно загружать данные, которые злоумышленники считают важными.
Ранее, специалисты по кибербезопасности из компании ThreatFabric сообщили о модификации банковского трояна Xenomorph для мобильных Android-платформ. Обновленная версия программного кода включила в свой список целей криптокошельки американских пользователей.