在多个不同名称的PyPI包中发现W4SP窃取者

威胁行为体已经向Python包索引（PyPI）发布了又一轮恶意软件包，其目标是在受到攻击的开发人员机器上传递窃取信息的恶意软件。

有趣的是，尽管该恶意软件有各种各样的名字，如ANGEL Stealter、Celestial Stealter，Fade Stealter和Leaf$tealer，PURE Stealter以及撒旦Stealter等，但网络安全公司Phylum发现它们都是W4SP Stealter的复制品。

W4SP窃取器主要功能是窃取用户数据，包括凭证、加密货币钱包、Discord代币和其他感兴趣的文件。它是由一位演员创作并出版的，他化名为BillyV3、BillyTheGoat和billythegoat356。

研究人员在本周早些时候发表的一份报告中表示：“出于某种原因，每次部署似乎都只是试图寻找/替换W4SP参考文献，以换取其他一些看似武断的名称”。

16个rogue模块如下：模块安全、informmodule、chazz、randomtime、proxygeneratorbil、easycordey、easycordeyy、tomproxys、sysej、py4sync、infosys、sysuptoer、nowsys、upamonkws、captchaboy和proxybooster。

分发W4SP隐形战机的战役在2022年10月左右获得了关注，尽管有迹象表明，它可能早在2022年8月25日就开始了。从那时起，持续的威胁行为体在PyPI上发布了数十个包含W4SP Steaker的虚假软件包。

该活动的最新一次迭代，无论其价值如何，都没有明显的隐藏其邪恶意图，除了chazz，它利用该包下载klgrth[.]io paste服务上托管的混淆的Leaf$tealer恶意软件。

值得注意的是，以前版本的攻击链也被发现直接从公共GitHub存储库获取下一阶段的Python代码，然后删除凭证窃取者。

新的山寨变体的激增与GitHub对保存W4SP Stealter原始源代码的存储库的拆除相吻合，这表明可能与该行动无关的网络犯罪分子也在将恶意软件武器化，以攻击PyPI用户。

研究人员表示：“开放源代码生态系统，如PyPI、NPM等，是此类行为者尝试和部署此类恶意软件的巨大目标。”。他们的尝试只会变得更频繁、更持久、更复杂"。

这家软件供应链安全公司密切关注着这名威胁演员的Discord频道，并进一步指出，BillyTheGoat对一个先前标记为pystyle的软件包进行了勒索，以分发这名盗窃者。

该模块不仅每月获得数千次下载，而且在2021 9月开始成为一个无害的实用程序，以帮助用户设计控制台输出。恶意修改在2022年10月28日发布的2.1和2.2版本中引入。

BillyTheGoat在一封“未经请求的信件”中告诉Phylum，这两个版本在PyPI上直播了大约一个小时后才被删除，据称已经获得了400次下载

研究人员警告说：“仅仅因为一个包裹在今天是良性的，并且已经显示出多年的良性历史，并不意味着它将保持这种状态”。“威胁行为体在构建合法软件包方面表现出了极大的耐心，但在它们变得足够流行后，却用恶意软件毒害它们”。