W4SP Stealer se aproxima do repositório Python

PyPI ou Python Package Index é um enorme repositório de código e software escrito na linguagem de programação Python. Tal como acontece com todos os repositórios maciços de aplicativos e código, ocasionalmente algumas maçãs podres chegam lá despercebidas. O caso do malware ladrão W4SP é um deles.

O PyPI teve instâncias de aplicativos maliciosos se infiltrando na plataforma, apesar de sua boa curadoria. W4SP é um novo caso semelhante.

Um agente de ameaças invadiu o malware no PyPI vestindo-o como um pacote de código chamado "requests" - um pacote que está entre os mais baixados na plataforma. O pacote falso de "pedidos" copia a descrição do original palavra por palavra e até coloca o e-mail de contato do fabricante do pacote legítimo lá.

O pacote malicioso contém um script que despeja outro script em um novo arquivo e o executa. O pequeno script pega um downloader ofuscado de um URL na web.

O downloader executa várias operações em algumas pastas do sistema, depois pega a carga útil final, coloca-a nessas pastas do sistema e a executa. A carga útil final no ataque do ladrão W4SP é um Trojan que também é ofuscado.

O ladrão do W4SP pode raspar e exfiltrar tokens do Discord e cookies do navegador, bem como raspar diretórios para uma lista de palavras-chave, na esperança de encontrar informações mais confidenciais.