W4SP 窃取者在持续的供应链攻击中不断针对 Python 开发人员

持续的供应链攻击一直在利用恶意 Python 包来分发名为 W4SP Stealer 的恶意软件，迄今为止已有数百名受害者落入陷阱。

      “威胁行为者仍然活跃，并且正在发布更多的恶意包，”Checkmarx研究员Jossef Harush在一篇技术文章中说，称对手为WASP。“这次攻击似乎与网络犯罪有关，因为攻击者声称这些工具无法检测到以增加销售额。

      Checkmarx的发现建立在Phylum和Check Point最近的报告之上，该报告标记了在Python Package Index（PyPI）上发布的30个不同模块，这些模块旨在以良性软件包为幌子传播恶意代码。
这次攻击只是针对软件供应链的最新威胁。值得注意的是使用隐写术来提取隐藏在Imgur上托管的图像文件中的多态恶意软件有效负载。

该软件包的安装最终为 W4SP Stealer（又名 WASP Stealer）让路，这是一种信息窃取程序，旨在泄露 Discord 帐户、密码、加密钱包和其他感兴趣的文件。

      Checkmarx的分析进一步追踪了攻击者的Discord服务器，该服务器由一个名为“Alpha.#0001”的单独用户管理，以及在GitHub上创建的各种虚假配置文件，以引诱不知情的开发人员下载恶意软件。

     此外，已经观察到 Alpha.#0001 运营商在 Discord 频道上以 20 美元的价格宣传“完全无法检测”的恶意软件，更不用说一旦从 PyPI 中删除，就会以不同的名称发布源源不断的新软件包。

      就在 11 月 15 日，有人看到威胁行为者在 PyPI 上采用了一个新的用户名（“停止”）来上传利用StarJacking 的域名仿冒库——这是一种技术，其中发布一个包，其中包含指向已经流行的源代码存储库的 URL。

      “随着攻击者变得越来越聪明，软件供应链攻击者使用的操纵水平正在增加，”Harush指出。“这是我第一次看到多态恶意软件用于软件供应链攻击。

      “事实证明，通过创建虚假的GitHub帐户和分享有毒的片段来欺骗使用这种简单而致命的技术可以欺骗数百名用户参加此活动。

       与此同时，美国网络安全和情报机构发布了新的指南，概述了客户可以采取的用于保护软件供应链的建议做法。

      “客户团队指定并依赖供应商提供关键工件（例如SBOM）和机制来验证软件产品，其安全属性，并证明SDLC安全流程和程序，”该指南写道。