Les chercheurs en sécurité de Phylum ont signalé qu'un acteur menaçant typosquattait des paquets PyPI populaires (paquets mal conçus) pour diriger les développeurs Python et JavaScript vers des dépendances malveillantes contenant du code pour télécharger des charges utiles écrites en Golang (Go).

L'objectif de l'attaque est d'infecter les victimes avec des variantes de ransomware conçues pour mettre à jour l’arrière-plan du bureau avec un message se faisant passer pour la CIA et demandant à la victime d'ouvrir un fichier "readme". Le malware tente également de chiffrer certains des fichiers de la victime.

Le fichier "readme" est en fait une note de rançon qui indique à la victime qu'elle doit payer 100 dollars en crypto-monnaie aux attaquants pour recevoir une clé de décryptage.

Phylum a dressé une liste des paquets visés par la campagne comprenait : dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr, et tequests.

Peu de temps après la publication du rapport initial, Phylum l'a mis à jour pour avertir que les paquets NPM étaient également ciblés dans le cadre de la même campagne.

Les paquets NPM malveillants identifiés - tels que discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd et telnservrr - contiennent du code JavaScript qui se comporte de manière similaire au code identifié dans les paquets Python.

Selon Louis Lang, directeur technique de Phylum, le nombre de paquets malveillants devrait augmenter. Les binaires déposés par ces paquets sont identifiés comme des malwares par les moteurs antivirus de VirusTotal.