W4SP Stealer kryber op på Python Repository
PyPI eller Python Package Index er et enormt lager af kode og software skrevet i Python-programmeringssproget. Som med ethvert massivt lager af applikationer og kode, kommer nogle dårlige æbler til tider ubemærket derind. Sagen med W4SP stealer malware er en af dem.
PyPI har haft tilfælde af ondsindede apps, der sniger sig ind på platformen på trods af dens gode kuration. W4SP er en ny lignende sag.
En trussel aktør sneg malwaren på PyPI ved at klæde den ud som en kodepakke kaldet "requests" - en pakke, der er blandt de mest downloadede på platformen. Den falske "anmodningspakke" kopierer beskrivelsen af originalen et ord for ord og smækkede endda kontakt-e-mailen fra den legitime pakkeproducent derind.
Den ondsindede pakke indeholder et script, der dumper et andet script i en ny fil og derefter kører det. Det lille script fanger en tilsløret downloader fra en URL på nettet.
Downloaderen udfører flere handlinger i et par systemmapper, griber derefter den endelige nyttelast, lægger den i disse systemmapper og kører den. Den ultimative nyttelast i W4SP-tyverangrebet er en trojaner, der også er sløret.
W4SP-tyveren kan skrabe og eksfiltrere Discord-tokens og browsercookies, samt skrabe mapper for en liste over søgeord i håb om at finde mere følsom information.