Onderzoekers hebben in de Python Package Index (PyPI) tientallen malafide Python-packages aangetroffen die cookies, in de browser opgeslagen wachtwoorden, inloggegevens voor cryptowallets, Riot en Steam, Discord-tokens, Telegram-sessies en bestanden met opgeslagen wachtwoorden, 2FA-codes, cryptowallet keys en andere gevoelige informatie steelt.

De Python Package Index is een repository voor de Python-programmeertaal en bevat allerlei door de Python-community ontwikkelde packages. Geregeld komt het voor dat aanvallers malafide packages uploaden en die voorzien van namen die erg lijken op die van legitieme packages. Ook bij de aanval waarover securitybedrijf Phylum bericht hebben de aanvallers code van legitieme packages genomen. Vervolgens werden de packages van malafide code voorzien en onder een iets andere naam geüpload naar PyPI.

Het gaat dan om packages met namen als twyne en colorsama, die zich voordoen als de bekende packages twine en colorama. De bijna dertig door Phylum ontdekte malafide packages, die bij elkaar 5700 keer waren gedownload, installeren de "W4SP stealer". Deze malware steelt allerlei informatie van het systeem opgeslagen wachtwoorden, cookies, informatie over het systeem, Discord-tokens, inloggegevens voor cryptowallets (Exodus, Metamask en Atomic) en clients zoals Steam, Riot, NationsGlory, Telegram-sessies.

Daarnaast kan de malware ook automatisch bestanden stelen, waarbij wordt gezocht naar opgeslagen wachtwoorden, 2FA-codes, wallet keys en andere gevoelige informatie. Net als bij vorige aanvallen met malafide packages wordt ontwikkelaars aangeraden om goed op te letten wat ze installeren.