威胁行为者已向 Python 包索引 (PyPI) 发布了又一轮恶意包，目的是在受感染的开发人员机器上传播信息窃取恶意软件。

有趣的是，虽然恶意软件有各种名称，如 ANGEL Stealer、Celestial Stealer、Fade Stealer、Leaf $tealer、PURE Stealer、Satan Stealer 和 @skid Stealer，但网络安全公司 Phylum 发现它们都是W4SP Stealer的副本。

W4SP Stealer 的主要功能是窃取用户数据，包括凭据、加密货币钱包、Discord 令牌和其他感兴趣的文件。它是由别名 BillyV3、BillyTheGoat 和 billythegoat356 的演员创作和发行的。

研究人员在本周早些时候发布的一份报告中说: “出于某种原因，每次部署似乎只是试图查找/替换 W4SP 引用，以换取其他一些看似随意的名称。”

16个流氓模块如下:modulesecurity、informmodule、chazz、randomtime、proxygeneratorbil、easycordey、easycordeyy、tomproxies、sys-ej、py4sync、infosys、sysuptoer、nowsys、upamonkws、captchaboy和proxybooster。

分发 W4SP Stealer 的活动在 2022 年 10 月左右获得了关注，尽管有迹象表明它可能早在 2022 年 8 月 25 日就开始了。从那时起，持续不断的威胁参与者在 PyPI 上发布了数十个包含W4SP Stealer的额外虚假包。

该活动的最新迭代，就其价值而言，并没有明显地隐藏其邪恶意图，但 chazz 除外，它利用该软件包下载托管在 klgrth[.]io 粘贴服务上的混淆 Leaf $tealer 恶意软件。

值得注意的是，先前版本的攻击链也被发现直接从公共 GitHub 存储库中获取下一阶段的 Python 代码，然后删除凭据窃取程序。

新的模仿变体的激增与 GitHub 关闭保存原始 W4SP Stealer 源代码的存储库相吻合，这表明网络犯罪分子可能与该操作无关，也在将恶意软件武器化以攻击 PyPI 用户。

研究人员说:“PyPI、NPM 等开源生态系统很容易成为此类行为者尝试部署此类恶意软件的巨大目标。” 他们的尝试只会变得更频繁、更持久、更复杂。”

这家软件供应链安全公司密切关注威胁行为者的 Discord 频道，并进一步指出，之前标记为pystyle的软件包被 BillyTheGoat 木马化以分发窃取程序。

该模块不仅每个月都有数千次下载，而且还在 2021 年 9 月开始作为一个无害的实用程序来帮助用户设计控制台输出。2022 年 10 月 28 日发布的 2.1 和 2.2 版本中引入了恶意修改。

BillyTheGoat 在一封“未经请求的信件”中告诉 Phylum，这两个版本在被删除前在 PyPI 上运行了大约一个小时，据称已获得 400 次下载。

研究人员警告说:“仅仅因为一个包裹在今天是无害的，并且多年来一直显示无害的历史，并不意味着它会一直保持这种状态。 ” “威胁行为者在构建合法软件包时表现出极大的耐心，只是在它们变得足够流行后才用恶意软件毒害它们。”