W4SP窃取者在持续的供应链攻击中不断瞄准Python开发人员

一场持续的供应链攻击利用恶意Python软件包分发名为W4SP Stealer的恶意软件，迄今为止已有数百名受害者被捕。

Checkmarx研究人员Jossef Harush在一份技术报告中称，“威胁行为体仍然活跃，正在释放更多恶意软件包。”黄蜂。“攻击似乎与网络犯罪有关，因为攻击者声称这些工具无法检测到以增加销售额”。

Checkmarx的发现建立在Phylum和Check Point最近的报告基础上，该报告标记了发布在Python包索引（PyPI）上的30个不同模块，这些模块旨在以外观良好的包为幌子传播恶意代码。

此次攻击只是针对软件供应链的最新威胁。值得注意的是，使用隐写术提取隐藏在Imgur上托管的图像文件中的多态恶意软件负载。

该软件包的安装最终为W4SP Steealer（又名WASP Steealer）让路，这是一个信息窃取者，旨在将Discord帐户、密码、加密钱包和其他感兴趣的文件过滤到Discord Webhook。

Checkmarx的分析进一步追踪到了攻击者的Discord服务器，该服务器由名为“Alpha.#0001”的单独用户管理，以及在GitHub上创建的各种虚假配置文件，以引诱不知情的开发人员下载恶意软件。

此外，阿尔法#0001运营商被观察到在Discord频道上以20美元的价格发布“完全无法检测”的恶意软件，更不用说一旦从PyPI上下载了一系列不同名称的新软件包。

就在最近的11月15日，有人看到威胁扮演者在PyPI上使用了一个新用户名（“停止”）来上传利用StarJacking；一种技术，其中使用指向已经流行的源代码库的URL发布包。

Harush指出：“随着攻击者变得越来越聪明，软件供应链攻击者使用的操纵水平也越来越高”。“这是（我）第一次看到多态恶意软件被用于软件供应链攻击”。

“通过创建虚假的GitHub帐户和共享中毒片段来欺骗用户的简单而致命的技术已被证明欺骗了数百名用户”。

与此同时，美国网络安全和情报机构发布了新的指南，概述了客户可以采取的保护软件供应链的建议做法。

“客户团队指定并依赖供应商提供关键工件（如SBOM）和机制，以验证软件产品及其安全属性，并验证SDLC安全过程和程序，”该指南写道。