Сотни разработчиков могут потерять криптовалюту из-за вредоносных пакетов PyPI
NewsMaker5 заражённых пакетов содержат инфостилер W4SP Stealer.
Специалисты из ИБ-компании Fortinet в репозитории PyPI обнаружили 5 вредоносных пакетов, похищающих пароли, cookie-файлы аутентификации Discord и криптовалютные кошельки у ничего не подозревающих разработчиков.
PyPI — это программный репозиторий для пакетов, созданных на языке программирования Python . Поскольку индекс содержит 200 000 пакетов, он позволяет разработчикам находить существующие пакеты, которые удовлетворяют различным требованиям проекта, экономя время и силы.
В период с 27 по 29 января 2023 года злоумышленник загрузил в PyPi 5 вредоносных пакетов, содержащих инфостилер W4SP Stealer . Хотя с тех пор пакеты были удалены, их уже скачали сотни разработчиков ПО. Вот список вредоносных пакетов и их статистика загрузок: