Um ator de ameaça desconhecido foi observado publicando pacotes de typosquat no repositório Python Package Index (PyPI) por quase seis meses, com o objetivo de entregar malware capaz de obter persistência, roubar dados sensíveis e acessar carteiras de criptomoedas para ganho financeiro.

Os 27 pacotes, que se disfarçavam de bibliotecas Python legítimas populares, atraíram milhares de downloads, conforme relatado pelos pesquisadores. A maioria dos downloads veio dos EUA, China, França, Hong Kong, Alemanha, Rússia, Irlanda, Singapura, Reino Unido e Japão.

Um denominador comum desses pacotes é o uso do script setup.py para incluir referências a outros pacotes maliciosos (como pystob e pywool) que implantam um script Visual Basic (VBScript) para baixar e executar um arquivo chamado “Runtime.exe”, alcançando persistência no host.

Embutido no binário há um arquivo compilado capaz de coletar informações de navegadores web, carteiras de criptomoedas e outras aplicações.