W4SP Stealer kryper upp på Python Repository
PyPI eller Python Package Index är ett enormt arkiv med kod och programvara skriven i Python-programmeringsspråket. Som med alla stora förråd av applikationer och kod, ibland tar sig några dåliga äpplen in där obemärkt. Fallet med W4SP stealer malware är ett av dessa.
PyPI har haft fall av skadliga appar som smyger sig in på plattformen trots dess goda kuration. W4SP är ett nytt liknande fall.
En hotaktör smög skadlig programvara på PyPI genom att klä ut den som ett kodpaket som kallas "requests" - ett paket som rankas bland de mest nedladdade på plattformen. Det falska "begäran"-paketet kopierar beskrivningen av originalet ett ord för ord och till och med smällde in kontaktmailen för den legitima pakettillverkaren där.
Det skadliga paketet innehåller ett skript som dumpar ett annat skript i en ny fil och sedan kör det. Det lilla skriptet tar tag i en förvirrad nedladdare från en URL på webben.
Nedladdaren utför flera operationer i ett par systemmappar, tar sedan tag i den sista nyttolasten, lägger den i dessa systemmappar och kör den. Den ultimata nyttolasten i W4SP-stjuvarattacken är en trojan som också är fördunklad.
W4SP-stealern kan skrapa och exfiltrera Discord-tokens och webbläsarcookies, samt skrapa kataloger för en lista med nyckelord, i hopp om att hitta mer känslig information.