تبدیل Discord به بدافزار سرقت رمز عبور توسط بسته‌های مخرب PyPi

 بدافزار

ده‌ها بسته مخرب PyPi کشف شده است که با نصب بدافزار کلاینت Discord را تغییر می‌دهد تا به یک درب پشتی سرقت اطلاعات تبدیل شود و داده‌ها را از مرورگرهای وب و Roblox به سرقت می‌برد.

تبدیل Discord به بدافزار سرقت رمز عبور توسط بسته‌های مخرب PyPi

ده‌ها بسته مخرب PyPi کشف شده است که با نصب بدافزار کلاینت Discord را تغییر می‌دهد تا به یک درب پشتی سرقت اطلاعات تبدیل شود و داده‌ها را از مرورگرهای وب و Roblox به سرقت می‌برد.

دوازده بسته در تاریخ 1 آگوست 2022 توسط کاربری به نام «scarycoder» در فهرست بسته پایتون (PyPI) آپلود شد و توسط محققان Snyk کشف شد.

بسته‌های پایتون وانمود می‌کنند که ابزارهای Roblox، مدیریت رشته‌ها و ماژول‌های اصلی هک هستند، اما هیچ‌کدام عملکرد وعده داده شده را ندارند. در عوض، بسته‌ها بدافزار سرقت رمز عبور را روی دستگاه‌های توسعه‌دهندگان نصب می‌کنند.

به عنوان بخشی از گزارش جدید Snyk، محققان یکی از این بسته‌های مخرب پایتون به نام «cyphers» را تجزیه و تحلیل می‌کنند که نشان می‌دهد چگونه کد مخرب پنهان شده در فایل «setup.py» برای نصب دو فایل اجرایی بدافزار ZYXMN.exe" و "ZYRBX.exe." از یک سرور Discord CDN استفاده می‌شود.

اولین باینری، ZYXMN.exe، برای سرقت اطلاعات از گوگل کروم، کرومیوم، مایکروسافت اج، فایرفاکس و اپرا، از جمله رمزهای عبور ذخیره شده، تاریخچه مرورگر، کوکی‌ها و سابقه جستجو استفاده می‌شود.

برای سرقت اطلاعات از مرورگرها، این بدافزار کلید اصلی پایگاه داده محلی مرورگر وب را رمزگشایی می‌کند تا داده‌های متن اصلی سابقه جستجو، سابقه مرور، کوکی‌ها، نشانک‌ها، رمزهای عبور ذخیره شده و کارت‌های اعتباری ذخیره شده را بازیابی کند. سپس این اطلاعات از طریق وب هوک Discord برای عوامل تهدید بارگذاری می‌شود.

با این حال، حتی جالب‌تر، این بدافزار فایل‌های جاوا اسکریپت واقعی مورد استفاده توسط مشتری Discord را تغییر می‌دهد تا یک درب پشتی تزریق کند که می‌تواند اطلاعات را مستقیماً از حساب Discord شما بدزدد.

بدافزار دوم، ZYRBX.exe، تنها بر روی Roblox تمرکز می‌کند و تلاش می‌کند کوکی حساب، شناسه کاربری، موجودی Robux و وضعیت Premium حساب پلتفرم بازی آنلاین را بدزدد و آن را به وب‌هوک Discord منتقل کند.

 

بدافزارهای بیشتر در PyPI

کسپرسکی گزارشی را منتشر کرد که در آن دو بسته دیگر PyPi را ارائه کرد که حاوی بدافزار سرقت اطلاعات هستند و همچنین کلاینت Discord را نیز تغییر می‌دهند.

دزدان در این بسته‌ها بر جمع‌آوری اعتبارنامه حساب‌ها از کیف پول‌های رمزنگاری، Steam و Minecraft تمرکز می‌کنند، در حالی که یک اسکریپت تزریقی ورودی‌هایی مانند آدرس‌های ایمیل، رمزهای عبور و اطلاعات صورت‌حساب را کنترل می‌کند.

پس از این مرحله، سارق پوشه‌های دانلود، اسناد و دسکتاپ میزبان را اسکن می‌کند تا لیست‌های بازیابی 2FA، فایل‌های متنی رمز عبور، توکن‌های Discord، اطلاعات حساب Paypal و موارد دیگر را پیدا کند.

دو مخرب کشف شده توسط کسپرسکی «pyquest» و «ultrarequests» هستند که پروژه‌هایی را با میلیون‌ها بار دانلود تقلید می‌کنند و حتی کد آنها را شبیه‌سازی می‌کنند.

 

منبع : Bleeping_computer