Pelaku ancaman telah menerbitkan putaran paket berbahaya lainnya ke Python Package Index (PyPI) dengan tujuan mengirimkan malware pencuri informasi pada mesin pengembang yang disusupi.
Perusahaan cybersecurity, Phylum, menemukan bahwa sejumlah malware yang menggunakan nama seperti ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer, dan @skid Stealer, adalah salinan dari W4SP Stealer.
Fungsi utama W4SP Stealer adalah menyedot data pengguna, termasuk kredensial, dompet cryptocurrency, token Discord, dan file menarik lainnya. Dibuat dan diterbitkan oleh seorang aktor yang menggunakan alias BillyV3, BillyTheGoat, dan billythegoat356.
Sekitar Oktober 2022, kampanye pendistribusian W4SP Stelaer sudah memiliki daya tarik. Meskipun terdapat indikasi sudah dimulai sejak pertengahan Agustus 2022. Sejak ini, lusinan paket palsu tambahan yang berisi W4SP Stealer telah diterbitkan di PyPI oleh para pelaku ancaman.
Perusahaan keamanan rantai pasokan perangkat lunak yang mengawasi saluran Discord aktor ancaman, mencatat bahwa paket yang sebelumnya ditandai dengan nama pystyle telah di-trojan oleh BillyTheGoat untuk mendistribusikan si pencuri.
Selain mengumpulkan ribuan unduhan setiap bulan, modul ini juga dimulai sebagai utilitas yang tidak berbahaya pada bulan September 2021 untuk membantu pengguna mendesain keluaran konsol. Modifikasi berbahaya diperkenalkan di versi 2.1 dan 2.2 yang dirilis pada 28 Oktober 2022.
Para peneliti memperingatkan adanya paket yang jinak selama bertahun-tahun bukan berarti dia akan jinak selamanya. Aktor ancaman telah menunjukkan kesabaran dalam membangun paket yang sah, untuk meracuni mereka dengan malware setelah mereka cukup populer.
Selengkapnya: The Hacker News
