„W4SP Stealer“ pasirodo „Python“ saugykloje

PyPI arba Python Package Index yra didžiulė kodo ir programinės įrangos, parašyto Python programavimo kalba, saugykla. Kaip ir kiekvienoje didžiulėje programų ir kodo saugykloje, kartais kai kurie blogi obuoliai ten patenka nepastebimai. W4SP stealer kenkėjiškos programos atvejis yra vienas iš tų.

„PyPI“ turėjo atvejų, kai kenkėjiškos programos pateko į platformą, nepaisant jos geros priežiūros. W4SP yra naujas panašus atvejis.

Grėsmių veikėjas įsiskverbė į PyPI kenkėjišką programinę įrangą, paversdamas ją kodo paketu, vadinamu „užklausomis“ – paketu, kuris yra vienas dažniausiai atsisiunčiamų platformoje. Suklastotas „užklausų“ paketas vienas žodis žodin nukopijuoja originalo aprašymą ir netgi įtraukė teisėto paketo gamintojo kontaktinį el. pašto adresą.

Kenkėjiškame pakete yra scenarijus, kuris iškelia kitą scenarijų į naują failą ir paleidžia jį. Mažytis scenarijus paima užtemdytą atsisiuntimo programą iš URL žiniatinklyje.

Atsisiuntimo programa atlieka keletą operacijų keliuose sistemos aplankuose, tada paima galutinį naudingąjį apkrovą, įdeda jį į tuos sistemos aplankus ir paleidžia. Didžiausia W4SP vagių atakos naudinga apkrova yra Trojos arklys, kuris taip pat yra užtemdytas.

W4SP stealer gali nuskaityti ir išfiltruoti Discord žetonus ir naršyklės slapukus, taip pat nukopijuoti katalogus raktinių žodžių sąrašui, tikėdamasis rasti jautresnės informacijos.