Scroll Top

Una campagna malware prende di mira i repository Python e JavaScript ufficiali

Una campagna di malware attiva prende di mira i repository ufficiali di Python e JavaScript.

La società di sicurezza della catena di fornitura di software Phylum ha individuato la campagna. Phylum ha affermato di aver scoperto la campagna dopo aver notato una raffica di attività attorno ai typosquat del popolare pacchetto di richieste Python.

I typosquat sfruttano semplici errori di battitura per installare pacchetti dannosi.

In questo caso, i typos PyPI includono: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr e tequest.

Phylum in seguito ha scoperto che l’attaccante stava pubblicando i seguenti pacchetti NPM che sfruttano anch’essi il typosquatting: discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd e telnservrr.

In quanto cloni delle biblioteche ufficiali, spesso passano inosservati finché non è troppo tardi.

A seconda del sistema operativo del dispositivo della vittima, questo particolare malware scarica un binario Golang rilevante. Una volta eseguito, lo sfondo del desktop del computer della vittima viene aggiornato con una falsa immagine della CIA e il malware tenterà di crittografare alcuni file.

Un file README viene inserito dal malware sul desktop che chiede all’utente di contattare l’individuo su Telegram e pagare “una piccola quota di $ 100” in BTC, ETH, LTC o XMR. In caso contrario, l’attaccante afferma che la chiave di decrittazione verrà cancellata.

Secondo Phylum, l’attacco è in corso (dal 13 dicembre 2022) ma è stata rilasciata una nuova versione del ransomware che ha anche limitato le architetture supportate.

Post Correlati