Die Sicherheitsforscher von Snyk überwachen Open-Source-Ökosysteme kontinuierlich auf bösartige Pakete und nutzen statische Analysetechniken, um verdächtige Pakete zu identifizieren und zu kennzeichnen. Jedes bösartige Paket wird bei der Veröffentlichung im Paketmanager identifiziert und schnell zur Snyk-Schwachstellendatenbank hinzugefügt.
Bei seinen jüngsten Untersuchungen fand das Team 12 einzelne Malware-Pakete, die demselben Akteur gehören. Diese bösartigen Pakete versuchten, der Entdeckung zu entgehen, indem sie Windows-Rechner infiltrierten und bösartige ausführbare Dateien ausführten, die vom Discord Content Delivery Network (CDN) – einer sehr beliebten Online-Chat-Anwendung – auf den Host heruntergeladen wurden.
Diese Pakete nutzten PyInstaller, um eine bösartige Anwendung und ihre Abhängigkeiten in einem Paket zu bündeln. PyInstaller verfolgt hier einen doppelten Zweck: Er soll die Erkennung verhindern, indem er die Abhängigkeiten bündelt, anstatt sie von einem Remote-Server auf den Host herunterzuladen, und eine ausführbare Datei bereitstellen, die ohne Interpreter ausgeführt werden kann.
Diese Malware zielt auf Daten ab, die für alltägliche Benutzeranwendungen gespeichert sind. Bei der Ausführung versucht sie, Google Chrome-Daten (Passwörter, Cookies, Webprotokoll, Suchverlauf und Lesezeichen) zu stehlen. Diese Daten sind ein häufiges Ziel für böswillige Akteure, da sie diese Daten dann verwenden können, um sich mit den angegebenen Anmeldeinformationen durch Ihre Konten zu bewegen.
Auch die beliebte Online-Chat-Anwendung Discord ist ein Ziel. Die Malware exfiltriert Discord-Tokens und injiziert dabei einen persistenten Schadcode. Dieser Schadcode, der als Discord Injector bekannt ist, kann eine alarmierende Menge an Informationen an den Angreifer weitergeben. Er gibt nicht nur Ihre Anmeldedaten weiter, sondern kann auch Ihre Kreditkarteninformationen abgreifen, wenn Sie diese nach dem Laden des Injectors eingeben.
Ein weiterer interessanter Aspekt dieser Malware ist, dass sie tatsächlich Discord-Ressourcen zur Verteilung ausführbarer Dateien nutzt. Diese Praxis ist zwar nicht neu, aber der Hinweis auf cdn.discord.com hat die Sicherheitsforscher auf den Plan gerufen. Die Binärdateien werden über das Discord CDN auf den Host heruntergeladen.
Neueste Kommentare
Noch keine Kommentare zu PyPi-Malware attackiert Discord und Roblox
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.