A W4SP Stealer megjelenik a Python Repositoryban

A PyPI vagy a Python Package Index a Python programozási nyelven írt kódok és szoftverek hatalmas tárháza. Mint minden hatalmas alkalmazás- és kódtárhoz, időnként néhány rossz alma észrevétlenül bejut oda. A W4SP lopó kártevő esete az egyik ilyen.

A PyPI-nél előfordult már, hogy rosszindulatú alkalmazások lopóztak be a platformra, annak ellenére, hogy a megfelelő gondozást kapta. A W4SP egy új hasonló eset.

Egy fenyegetőző cselekszi a kártevőt a PyPI-n úgy, hogy egy „requests” nevű kódcsomagnak öltöztette azt – ez a csomag a legtöbbet letöltött csomagok közé tartozik a platformon. A hamis "kérések" csomag szóról szóra lemásolja az eredeti leírását, és még a törvényes csomagkészítő kapcsolatfelvételi e-mail-címét is belepofozza.

A rosszindulatú csomag olyan szkriptet tartalmaz, amely egy másik szkriptet ír ki egy új fájlba, majd futtatja azt. Az apró szkript megragad egy zavart letöltőt egy URL-ről a weben.

A letöltő több műveletet hajt végre néhány rendszermappában, majd megragadja a végső hasznos terhelést, elhelyezi a rendszermappákba és futtatja. A W4SP-lopó támadásban a végső hasznos teher egy trójai, amely szintén homályos.

A W4SP lopó képes lekaparni és kiszűrni a Discord tokeneket és a böngésző cookie-jait, valamint a kulcsszavak listájához kaparni könyvtárakat, remélve, hogy érzékenyebb információkat talál.