W4SP-stealer

De W4SP Stealer is een schadelijke bedreiging, ontworpen om gevoelige en vertrouwelijke informatie te verzamelen van de systemen die het infecteert. Meer specifiek gaat de dreiging achter de Discord-tokens, cookies en opgeslagen accountgegevens van het slachtoffer aan. De verzamelde gegevens worden vervolgens geëxfiltreerd naar de aanvallers. De dreiging is bij meerdere gelegenheden waargenomen om te worden verspreid via bedreigende Python-pakketten in het PyPi-register.

Details over de dreigende campagne werden openbaar gemaakt in een rapport van beveiligingsexperts van een beveiligingsbedrijf voor de toeleveringsketen van software. Volgens hun bevindingen vertrouwden de operators van de W4SP Stealer op typo-kraaktactieken om slachtoffers ertoe te brengen de bewapende dreiging te downloaden.

Typo-squatting verwijst naar het gebruik van namen die spelfouten zijn van populaire of legitieme bestemmingen, sites, softwareproducten, enz. In dit geval hebben de bedreigingsactoren opzettelijk hun bedreigende pakketten gepubliceerd met namen die sterk lijken op die van bekende en veelgebruikte Pythion-bibliotheken . Als ontwikkelaars een spelfout maken tijdens het typen van de naam van het legitieme pakket, worden ze waarschijnlijk doorgestuurd naar het W4SP-leverende pakket. In totaal werden 29 pakketten genoemd in het Phylum-rapport, waaronder typesutil, typestring, pyhints, pystyte, installpy, colorwin en meer. Geschat wordt dat pakketten met de W4SP Stealer-dreiging bijna zesduizend keer zijn gedownload.