W4SP Stealer проникает в репозиторий Python

PyPI или Python Package Index — это огромный репозиторий кода и программного обеспечения, написанного на языке программирования Python. Как и в любом крупном репозитории приложений и кода, иногда туда незамеченными пробираются какие-то гнилые яблоки. Случай с вредоносной программой-стилером W4SP — один из таких.

У PyPI были случаи, когда вредоносные приложения проникали на платформу, несмотря на его хорошую проверку. W4SP — новый аналогичный случай.

Злоумышленник пронес вредоносное ПО через PyPI, представив его как пакет кода под названием «запросы» — пакет, который входит в число самых загружаемых на платформе. Поддельный пакет «запросы» дословно копирует описание оригинала и даже влепил туда контактный адрес электронной почты законного производителя пакета.

Вредоносный пакет содержит скрипт, который создает дамп другого скрипта в новом файле, а затем запускает его. Крошечный скрипт захватывает запутанный загрузчик с URL-адреса в Интернете.

Загрузчик выполняет несколько операций в паре системных папок, затем берет финальную полезную нагрузку, помещает ее в эти системные папки и запускает. Конечная полезная нагрузка в атаке стилера W4SP — это троян, который также запутан.

Похититель W4SP может очищать и удалять токены Discord и файлы cookie браузера, а также очищать каталоги для списка ключевых слов в надежде найти более конфиденциальную информацию.