WASP stealer (معروف به W4SP ) بدافزاری است که برای سرقت گذرواژههای کاربران، حسابهای Discord، کیف پولهای ارزهای دیجیتال و سایر اطلاعات حساس طراحی شده است که با هدف قراردادن چالشهای پرطرفدار درشبکه اجتماعی TikTok به اهداف خود دست می یابد
بر اساس تحقیقات جدید Checkmarx، عوامل این تهدید از چالش محبوب TikTok برای فریب کاربران برای دانلود بدافزار سرقت اطلاعات استفاده می کنند.
این روند که چالش نامرئی نامیده می شود، شامل اعمال فیلتری به نام بدن نامرئی می شود که فقط یک شبح از بدن فرد را به جا می گذارد.
اما این واقعیت که افرادی که از چنین ویدئوهایی فیلم میگیرند میتوانند لباسشان را بیرون بیاورند، منجر به طرحی شرورانه شده است که در آن مهاجمان ویدیوهای TikTok را با پیوندهایی به نرمافزارهای سرکش با نام "unfilter" ارسال میکنند که قصد حذف فیلترهای اعمالشده را دارند.
گای ناچشون، محقق Checkmarx در تحلیلی روز دوشنبه گفت: «دستورالعملها برای دریافت نرمافزار «unfilter»، بدافزار سارق WASP را که در بستههای مخرب پایتون پنهان میشود، مستقر میکند.
WASP stealer (معروف به W4SP Stealer) بدافزاری است که برای سرقت گذرواژههای کاربران، حسابهای Discord، کیف پولهای ارزهای دیجیتال و سایر اطلاعات حساس طراحی شده است.
ویدیوهای TikTok که توسط مهاجمان، @learncyber و @kodibtc در 11 نوامبر 2022 ارسال شده است، تخمین زده می شود که بیش از یک میلیون بازدید داشته باشد. حساب ها به حالت تعلیق درآمده است.
همچنین در این ویدئو لینک دعوت به سرور Discord که توسط دشمن مدیریت میشود، وجود دارد که قبل از گزارش و حذف آن، نزدیک به 32000 عضو داشت. قربانیانی که به سرور Discord می پیوندند متعاقباً پیوندی به مخزن GitHub دریافت می کنند که میزبان بدافزار است.
مهاجم از آن زمان نام پروژه را به "Nitro-generator" تغییر داده است، اما نه قبل از اینکه در لیست مخازن پرطرفدار GitHub برای 27 نوامبر 2022 قرار گیرد و از اعضای جدید Discord خواسته است که پروژه را ستاره کنند.
علاوه بر تغییر نام مخزن، عامل تهدید، فایلهای قدیمی پروژه را حذف کرد و فایلهای تازهای را آپلود کرد، که یکی از آنها حتی کد بهروزرسانی شده پایتون را بهعنوان «منبع باز آن، **ویروس** نیست» توصیف کرد. حساب GitHub اکنون کشیده شده است.
گفته میشود که کد دزد در بستههای مختلف پایتون مانند «tiktok-filter-api»، «pyshftuler»، «pyiopcs» و «pydesings» تعبیه شده است و اپراتورها به سرعت جایگزینهای جدیدی را برای فهرست بسته پایتون (PyPI)) تحت نام های مختلف پس از حذف منتشر میکنند.
ناچشون خاطرنشان کرد: "سطح دستکاری که توسط مهاجمان زنجیره تامین نرم افزار استفاده می شود در حال افزایش است زیرا مهاجمان به صورت لحظه ای شگرد های خود را بروز می نمایند." این حملات دوباره نشان می دهد که مهاجمان سایبری توجه خود را بر روی اکوسیستم های منبع باز متمرکز کرده اند.