研究人员使用 W4SP Stealer 发现了 29 个针对开发人员的恶意 PyPI 包

 (PyPI) 中发现了 29 个包，这些包旨在用名为W4SP Stealer的恶意软件感染开发人员的机器。

软件供应链安全公司 Phylum在本周发布的一份报告中表示： “主要攻击似乎是在 2022 年 10 月 12 日左右开始的，然后在 10 月 22 日左右逐渐集中力量。”

违规软件包列表如下：typesutil、typestring、sutiltype、duonet、fatnoob、strinfer、pydprotect、incrivelsim、twyne、pyptext、installpy、faq、colorwin、requests-httpx、colorsama、shaasigma、stringe、felpesviadinho、cypress、pystyte , pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color, 和 pyhints。

总的来说，这些软件包已被下载超过 5,700 次，其中一些库（例如 twyne 和 colorsama）依赖于域名抢注来诱骗毫无戒心的用户下载它们。

欺诈模块通过在包的“ setup.py ”脚本中插入恶意导入语句来重新利用现有的合法库，以启动一段从远程服务器获取恶意软件的 Python 代码。

W4SP Stealer是一种基于 Python 的开源木马，具有窃取感兴趣文件、密码、浏览器 cookie、系统元数据、Discord 令牌以及来自 MetaMask、Atomic 和 Exodus 加密钱包的数据的功能。

这不是 W4SP Stealer 第一次通过 PyPI 存储库中看似良性的包交付。8 月，卡巴斯基发现了两个名为 pyquest 和 ultrarequests 的库，它们被发现将恶意软件部署为最终有效负载。

调查结果表明，开源生态系统持续 滥用以传播恶意程序包，这些程序包旨在收集敏感信息并为供应链攻击让路。

Phylum 指出：“由于这是一场持续不断的攻击，攻击者的策略不断变化，我们怀疑在不久的将来会出现更多类似的恶意软件。”