W4SP スティーラーが Python リポジトリに忍び寄る
PyPI または Python Package Index は、Python プログラミング言語で書かれたコードとソフトウェアの巨大なリポジトリです。アプリケーションとコードのすべての大規模なリポジトリと同様に、時折、いくつかの悪いリンゴが気づかれずにそこに侵入します。 W4SP スティーラー マルウェアのケースはその 1 つです。
PyPI は、優れたキュレーションにもかかわらず、プラットフォームに忍び込む悪意のあるアプリのインスタンスを持っています。 W4SP は新しい同様のケースです。
攻撃者は、マルウェアを「リクエスト」と呼ばれるコード パッケージに装うことで、PyPI に忍び込ませました。このパッケージは、プラットフォームで最もダウンロードされているパッケージの 1 つです。偽の「リクエスト」パッケージは、元の説明を一語一句コピーし、正規のパッケージ メーカーの連絡先電子メールをそこに平手打ちすることさえあります。
悪意のあるパッケージには、別のスクリプトを新しいファイルにダンプして実行するスクリプトが含まれています。この小さなスクリプトは、Web 上の URL から難読化されたダウンローダーを取得します。
ダウンローダは、いくつかのシステム フォルダでいくつかの操作を実行してから、最終的なペイロードを取得し、それらのシステム フォルダに配置して実行します。 W4SP スティーラー攻撃の最終的なペイロードは、同じく難読化されたトロイの木馬です。
W4SP スティーラーは、より機密性の高い情報を見つけることを期待して、Discord トークンとブラウザー Cookie をスクレイピングして盗み出すことができます。また、ディレクトリからキーワードのリストをスクレイピングすることもできます。