ProHoster > بلوق > أخبار الإنترنت > تم التعرف على الحزم الخبيثة التي تهدف إلى سرقة العملة المشفرة في مستودع PyPI

تم التعرف على الحزم الخبيثة التي تهدف إلى سرقة العملة المشفرة في مستودع PyPI

تم العثور على 26 حزمة ضارة في كتالوج PyPI (فهرس حزمة Python) تحتوي على رمز غامض في برنامج setup.py النصي الذي يحدد وجود معرفات محفظة التشفير في الحافظة ويغيرها إلى محفظة المهاجم (من المفترض أنه عند إجراء الدفع ، لن تلاحظ الضحية أن المحول من خلال رقم محفظة الحافظة مختلف).

يتم إجراء الاستبدال بواسطة برنامج نصي JavaScript يتم تضمينه في المستعرض بعد تثبيت الحزمة الضارة في شكل وظيفة إضافية للمستعرض يتم تنفيذها في سياق كل صفحة ويب يتم عرضها. ترتبط عملية تثبيت الوظيفة الإضافية بمنصة Windows ويتم تنفيذها لمتصفحات Chrome و Edge و Brave. يدعم استبدال المحافظ بالعملات المشفرة ETH و BTC و BNB و LTC و TRX.

يتم إخفاء الحزم الخبيثة في دليل PyPI على أنها بعض المكتبات الشائعة التي تستخدم أسلوب الكتابة (تعيين أسماء متشابهة تختلف في الأحرف الفردية ، على سبيل المثال ، expl بدلاً من مثال ، djangoo بدلاً من django ، pyhton بدلاً من python ، إلخ). نظرًا لأن النسخ التي تم إنشاؤها تكرر تمامًا مكتبات شرعية ، تختلف فقط في إدراج خبيث ، يعتمد المهاجمون على المستخدمين غير المهتمين الذين ارتكبوا خطأ مطبعيًا ولم يلاحظوا اختلافات في الاسم عند البحث. مع الأخذ في الاعتبار شعبية المكتبات الشرعية الأصلية (يتجاوز عدد التنزيلات 21 مليون نسخة في اليوم) ، والتي تتنكر في شكل نسخ ضارة ، فإن احتمال اصطياد الضحية مرتفع جدًا ، على سبيل المثال ، بعد ساعة من نشر الحزمة الخبيثة الأولى ، تم تنزيلها أكثر من 100 مرة.

من الجدير بالذكر أنه قبل أسبوع ، حددت نفس المجموعة من الباحثين 30 حزمة ضارة أخرى في PyPI ، وبعضها يتنكر أيضًا كمكتبات شعبية. خلال الهجوم الذي استمر قرابة أسبوعين ، تم تنزيل الحزم الخبيثة 5700 مرة. بدلاً من برنامج نصي لاستبدال محافظ التشفير في هذه الحزم ، تم استخدام مكون W4SP-Stealer النموذجي ، والذي يبحث في النظام المحلي عن كلمات المرور المحفوظة ومفاتيح الوصول ومحافظ التشفير والرموز المميزة وملفات تعريف الارتباط للجلسة والمعلومات السرية الأخرى ، ويرسل الملفات التي تم العثور عليها عبر الفتنة.

تم إجراء استدعاء W4SP-Stealer من خلال استبدال عبارة "__import__" في ملفات setup.py أو __init__.py ، والتي تم فصلها بعدد كبير من المسافات ، من أجل إجراء مكالمة __import__ خارج المنطقة المرئية في النص محرر. في كتلة "__import__" ، تم فك تشفير الكتلة بتنسيق Base64 وكتابتها في ملف مؤقت. احتوت الكتلة على برنامج نصي لتنزيل W4SP Stealer وتثبيته على النظام. بدلاً من التعبير "__import__" ، تم توصيل الكتلة الضارة في بعض الحزم عن طريق تثبيت حزمة إضافية عن طريق استدعاء "تثبيت النقطة" من البرنامج النصي setup.py.

تم التعرف على الحزم الخبيثة التي تهدف إلى سرقة العملة المشفرة في مستودع PyPI

الحزم الخبيثة التي تم تحديدها والتي تحل محل أرقام المحافظ المشفرة:

  • baeutifulsoup4
  • جميل
  • كلوراما
  • كريبتوجرافيه
  • البرمجة النصية
  • دجانغو
  • مرحبا مثال العالم
  • مرحبا مثال العالم
  • com.ipyhton
  • مدقق البريد
  • mysql- موصل- بيثون
  • notebox
  • بياوتوجيو
  • بيجيم
  • بيتورهك
  • بيثون داتوتي
  • قارورة الثعبان
  • ثعبان 3 قارورة
  • بيالم
  • rqueests
  • سلينيوم
  • com.sqlachemy
  • com.sqlalcemy
  • com.tkniter
  • urllib

الحزم الخبيثة التي تم تحديدها والتي ترسل بيانات حساسة من النظام:

  • أنواع
  • الطباعة
  • نوع sutiltype
  • دويتو
  • فاتنووب
  • سترينفر
  • com.pydprotect
  • com.incrivelsim
  • خيوط
  • pyptext
  • installpy
  • التعليمات
  • كولوروين
  • طلبات- httpx
  • coloursama
  • شاسيغما
  • يشد
  • com.felpesviadinho
  • شجر السرو
  • pystyle
  • بيسليت
  • pystyle
  • بيرورليب
  • خوارزمية
  • رأ
  • com.iao
  • كورلابي
  • نوع اللون
  • بيهينتس

المصدر: opennet.ru

إضافة تعليق