I ricercatori di Fortinet hanno scoperto cinque pacchetti PyPI (Python Package Index) che nascondono W4SP Stealer, un malware in grado di rubare password, cookie di autenticazione, indirizzi dei wallet e altri dati sensibili dai computer delle vittime. I pacchetti sono stati rimossi, ma quanto successo conferma che i cybercriminali sfruttano sempre più spesso questi repository per le loro attività.
Info-stealer nei pacchetti Python
PyPI (Python Package Index) è un repository per i pacchetti creati in Python. Gli sviluppatori possono trovare pacchetti che soddisfano le loro necessità, evitando di riscrivere il codice da zero. Tra il 27 e 29 gennaio, qualcuno ha caricato cinque pacchetti (3m-promo-gen-api, Ai-Solver-gen, hypixel-coins, httpxrequesterv2 e httpxrequester) contenenti il malware W4SP Stealer. I pacchetti sono stati rimossi, ma erano stati già scaricati quasi 650 volte.
Secondo gli esperti di Fortinet, il malware può rubare le password conservate nei principali browser, i cookie di autenticazione di Discord e gli indirizzi dei waller di criptovalute. Viene inoltre tentato il furto degli account che gli utenti hanno aperto su diversi siti, tra cui Coinbase, Gmail, YouTube, Instagram, PayPal, Outlook, Telegram, ebay e Netflix.
Tutti i dati vengono quindi inviati ad un server controllato dai cybercriminali attraverso un webhook di Discord. Nel codice di W4SP Stealer è presente anche una funzione che cerca i file in base a specifiche keyword. Dato che i repository sono spesso sfruttati per distribuire malware, gli sviluppatori dovrebbero verificare il codice dei pacchetti prima di aggiungerli ai loro progetti.