На протяжении последнего полугода исследователи наблюдали за киберпреступной кампанией, которая постепенно совершенствовалась и набирала силу. Цель этой кампании — установить на опенсорсные платформы вредоносные пакеты для кражи данных.
Всего таких пакетов нашлось 272, а их общее число загрузок составило около 75 тысяч. Команда Checkmarx Supply Chain Security, наблюдавшая за этой активностью с апреля, нашла скрытый злонамеренный код, вытаскивающий конфиденциальные данные жертвы.
При этом эксперты отмечают заметно растущий уровень профессионализма киберпреступников, поскольку в последних атаках они усовершенствовали слои обфускации и способы ухода от детектирования.
В качестве примера исследователи приводят файл «_init_py», загружающийся только после проверки хоста: если это виртуальная система, вредонос просто не запустится.
Операторов зловреда интересует следующая информация:
- наличие работающих антивирусов в системе;
- список задач, пароли от Wi-Fi, информация о хосте;
- учётные данные, история браузера, cookies, платёжные сведения — всё это должно быть сохранено в браузере;
- данные криптовалютных кошельков вроде Atomic и Exodus;
- телефонные номера, адреса электронной почты, значки Discord;
- данные игрока в Minecraft и Roblox.
Помимо этого, вредонос снимает скриншоты и крадёт определённые файлы, хранящиеся на рабочем столе и в директориях «Изображения», «Музыка», «Документы», «Видео», «Загрузки».
Буфер обмена жертвы также постоянно мониторится: зловред пытается найти и подменить там адреса криптокошельков.
При этом интересно, что злоумышленники используют в пакетах не менее 70 слоёв обфускации.