W4SP Stealer kruipt omhoog in Python Repository

PyPI of de Python Package Index is een enorme opslagplaats van code en software die is geschreven in de programmeertaal Python. Zoals bij elke enorme opslagplaats van applicaties en code, komen er af en toe wat rotte appels ongemerkt binnen. Het geval met de W4SP-stealer-malware is daar een van.

PyPI heeft ondanks zijn goede beheer gevallen van kwaadaardige apps op het platform laten sluipen. W4SP is een nieuwe soortgelijke zaak.

Een dreigingsactor sloop de malware op de PyPI door deze te verkleden als een codepakket genaamd "requests" - een pakket dat tot de meest gedownloade op het platform behoort. Het valse "verzoeken"-pakket kopieert de beschrijving van het origineel woord voor woord en plakt er zelfs het contact-e-mailadres van de legitieme pakketmaker in.

Het kwaadaardige pakket bevat een script dat een ander script in een nieuw bestand dumpt en het vervolgens uitvoert. Het kleine script pakt een versluierde downloader van een URL op internet.

De downloader voert verschillende bewerkingen uit in een aantal systeemmappen, pakt vervolgens de laatste payload, plaatst deze in die systeemmappen en voert deze uit. De ultieme lading in de W4SP-stealeraanval is een Trojaans paard dat ook wordt verdoezeld.

De W4SP-stealer kan Discord-tokens en browsercookies schrapen en exfiltreren, evenals mappen schrapen voor een lijst met trefwoorden, in de hoop meer gevoelige informatie te vinden.