Il ladro W4SP si insinua nel repository Python

PyPI o Python Package Index è un enorme repository di codice e software scritto nel linguaggio di programmazione Python. Come con ogni enorme repository di applicazioni e codice, a volte alcune mele marce si fanno strada inosservate. Il caso con il malware W4SP stealer è uno di quelli.

PyPI ha avuto casi di app dannose che si sono intrufolate sulla piattaforma nonostante la sua buona cura. W4SP è un nuovo caso simile.

Un attore di minacce ha intrufolato il malware sul PyPI vestendolo come un pacchetto di codice chiamato "richieste", un pacchetto che si colloca tra i più scaricati sulla piattaforma. Il falso pacchetto "richieste" copia la descrizione dell'originale parola per parola e contiene persino l'e-mail di contatto del legittimo produttore del pacchetto.

Il pacchetto dannoso contiene uno script che esegue il dump di un altro script in un nuovo file, quindi lo esegue. Il minuscolo script cattura un downloader offuscato da un URL sul Web.

Il downloader esegue diverse operazioni in un paio di cartelle di sistema, quindi prende il payload finale, lo inserisce in quelle cartelle di sistema e lo esegue. L'ultimo carico utile nell'attacco stealer W4SP è un Trojan che è anche offuscato.

Il ladro W4SP può raschiare ed esfiltrare i token Discord e i cookie del browser, nonché le directory di raschiamento per un elenco di parole chiave, sperando di trovare informazioni più sensibili.