W4SP Stealer se glisse sur le référentiel Python
PyPI ou Python Package Index est un énorme référentiel de code et de logiciels écrits dans le langage de programmation Python. Comme pour tout référentiel massif d'applications et de code, il arrive parfois que des brebis galeuses s'y retrouvent sans être remarquées. Le cas du malware voleur W4SP en fait partie.
PyPI a eu des cas d'applications malveillantes se faufilant sur la plate-forme malgré sa bonne conservation. W4SP est un nouveau cas similaire.
Un acteur de la menace a introduit le malware sur le PyPI en le déguisant en un package de code appelé "requests" - un package qui se classe parmi les plus téléchargés sur la plate-forme. Le faux paquet "requests" copie mot pour mot la description de l'original et a même giflé l'e-mail de contact du fabricant de paquets légitime.
Le package malveillant contient un script qui vide un autre script dans un nouveau fichier, puis l'exécute. Le petit script saisit un téléchargeur masqué à partir d'une URL sur le Web.
Le téléchargeur effectue plusieurs opérations dans quelques dossiers système, puis récupère la charge utile finale, la place dans ces dossiers système et l'exécute. La charge utile ultime dans l'attaque de vol W4SP est un cheval de Troie qui est également obscurci.
Le voleur W4SP peut récupérer et exfiltrer les jetons Discord et les cookies du navigateur, ainsi que récupérer des répertoires pour une liste de mots-clés, dans l'espoir de trouver des informations plus sensibles.