W4SP Stealer 在 Python 存儲庫中蔓延
PyPI 或 Python 包索引是一個巨大的以 Python 編程語言編寫的代碼和軟件存儲庫。與每一個龐大的應用程序和代碼存儲庫一樣,偶爾會有一些壞蘋果在不知不覺中進入其中。 W4SP 竊取惡意軟件的案例就是其中之一。
儘管 PyPI 精心策劃,但仍有惡意應用程序潛入該平台的實例。 W4SP 是一個新的類似案例。
威脅者將惡意軟件偽裝成一個名為“requests”的代碼包,從而在 PyPI 上偷偷摸摸惡意軟件——該包是平台上下載次數最多的包之一。偽造的“請求”包一字不差地複制了原始的描述,甚至將合法包製造商的聯繫電子郵件貼在了那裡。
惡意程序包包含一個腳本,該腳本將另一個腳本轉儲到一個新文件中,然後運行它。這個小腳本從網絡上的 URL 中抓取一個模糊的下載器。
下載器在幾個系統文件夾中執行多項操作,然後抓取最終的有效負載,將其放入這些系統文件夾並運行它。 W4SP 竊取者攻擊的最終有效載荷是一個同樣被混淆的木馬。
W4SP 竊取程序可以抓取和洩露 Discord 令牌和瀏覽器 cookie,以及抓取目錄以獲取關鍵字列表,希望找到更多敏感信息。