W4SP Stealer 在 Python 存储库中蔓延
PyPI 或 Python 包索引是一个巨大的以 Python 编程语言编写的代码和软件存储库。与每一个庞大的应用程序和代码存储库一样,偶尔会有一些坏苹果在不知不觉中进入其中。 W4SP 窃取恶意软件的案例就是其中之一。
尽管 PyPI 精心策划,但仍有恶意应用程序潜入该平台的实例。 W4SP 是一个新的类似案例。
威胁者将恶意软件伪装成一个名为“requests”的代码包,从而在 PyPI 上偷偷摸摸恶意软件——该包是平台上下载次数最多的包之一。伪造的“请求”包一字不差地复制了原始的描述,甚至将合法包制造商的联系电子邮件贴在了那里。
恶意程序包包含一个脚本,该脚本将另一个脚本转储到一个新文件中,然后运行它。这个小脚本从网络上的 URL 中抓取一个模糊的下载器。
下载器在几个系统文件夹中执行多项操作,然后抓取最终的有效负载,将其放入这些系统文件夹并运行它。 W4SP 窃取者攻击的最终有效载荷是一个同样被混淆的木马。
W4SP 窃取程序可以抓取和泄露 Discord 令牌和浏览器 cookie,以及抓取目录以获取关键字列表,希望找到更多敏感信息。