Pesquisadores de segurança cibernética descobriram 29 pacotes no Python Package Index (PyPI), o repositório oficial de software de terceiros para a linguagem de programação Python, que visa infectar as máquinas dos desenvolvedores com um malware chamado W4SP Stealer.

O ataque principal parece ter começado por volta de 12 de outubro de 2022, lentamente ganhando força para um esforço concentrado por volta de 22 de outubro.

Coletivamente, os pacotes foram baixados mais de 5.700 vezes, com algumas das bibliotecas (por exemplo, twyne e colorsama) contando com typosquatting para enganar usuários desavisados para baixá-los.

Os módulos fraudulentos redirecionam as bibliotecas legítimas existentes inserindo uma instrução de importação maliciosa no script “setup.py” dos pacotes para iniciar um pedaço de código Python que busca o malware de um servidor remoto.

O W4SP Stealer , um trojan de código aberto baseado em Python, vem com recursos para furtar arquivos de interesse, senhas, cookies de navegador, metadados do sistema, tokens Discord, bem como dados das carteiras de criptomoedas MetaMask, Atomic e Exodus.