W4SP Stealer kryper opp på Python Repository

PyPI eller Python Package Index er et stort oppbevaringssted for kode og programvare skrevet i programmeringsspråket Python. Som med ethvert massivt oppbevaringssted for applikasjoner og kode, kommer noen ganger noen dårlige epler inn der ubemerket. Saken med W4SP stealer malware er en av disse.

PyPI har hatt tilfeller av ondsinnede apper som sniker seg inn på plattformen til tross for den gode kurasjonen. W4SP er en ny lignende sak.

En trusselaktør snek skadelig programvare på PyPI ved å kle den opp som en kodepakke kalt «requests» – en pakke som er blant de mest nedlastede på plattformen. Den falske "forespørsler"-pakken kopierer beskrivelsen av originalen ett ord for ord og til og med slengte kontakt-e-posten til den legitime pakkeprodusenten inn der.

Den skadelige pakken inneholder et skript som dumper et annet skript i en ny fil, og deretter kjører det. Det lille skriptet fanger en skjult nedlaster fra en URL på nettet.

Nedlasteren utfører flere operasjoner i et par systemmapper, griper deretter den endelige nyttelasten, legger den i disse systemmappene og kjører den. Den ultimate nyttelasten i W4SP-tyverangrepet er en trojaner som også er tilslørt.

W4SP-tyveren kan skrape og eksfiltrere Discord-tokens og nettleserinformasjonskapsler, samt skrape kataloger for en liste over nøkkelord, i håp om å finne mer sensitiv informasjon.