PyPI (Python Paket İndeksi) kataloqunda, mübadilə buferində kripto pul kisəsi identifikatorlarının mövcudluğunu müəyyən edən və onları təcavüzkarın pul kisəsinə dəyişdirən setup.py skriptində qarışıq kod olan 26 zərərli paket müəyyən edilmişdir (ehtimal edilir ki, bunu edərkən Ödəniş zamanı qurban mübadilə buferi vasitəsilə köçürülən pulun cüzdan nömrəsinin fərqli olduğunu fərq etməyəcək).
Əvəzetmə JavaScript skripti ilə həyata keçirilir ki, bu da zərərli paketi quraşdırdıqdan sonra brauzerə brauzer əlavəsi şəklində daxil edilir və baxılan hər bir veb səhifənin kontekstində icra olunur. Əlavənin quraşdırılması prosesi Windows platformasına xasdır və Chrome, Edge və Brave brauzerləri üçün həyata keçirilir. ETH, BTC, BNB, LTC və TRX kriptovalyutaları üçün pul kisələrinin dəyişdirilməsini dəstəkləyir.
Zərərli paketlər PyPI qovluğunda typequatting (fərdi simvollarda fərqlənən oxşar adların təyin edilməsi, məsələn, məsələn, django əvəzinə djangoo, piton yerinə piton və s.) istifadə edən bəzi məşhur kitabxanalar kimi maskalanır. Yaradılmış klonlar yalnız zərərli daxiletmədə fərqlənən qanuni kitabxanaları tamamilə təkrarladığından, təcavüzkarlar yazı səhvinə yol verən və axtarış zamanı addakı fərqi görməyən diqqətsiz istifadəçilərə etibar edirlər. Zərərli klonların maskalandığı orijinal qanuni kitabxanaların populyarlığını (endirmələrin sayı gündə 21 milyon nüsxədən çoxdur) nəzərə alsaq, qurbanı tutmaq ehtimalı kifayət qədər yüksəkdir; məsələn, nəşrin dərcindən bir saat sonra. ilk zərərli paket, 100 dəfədən çox yükləndi.
Maraqlıdır ki, bir həftə əvvəl eyni tədqiqatçılar qrupu PyPI-də 30 digər zərərli paketi müəyyən edib, onlardan bəziləri də məşhur kitabxanalar kimi maskalanıb. Təxminən iki həftə davam edən hücum zamanı zərərli paketlər 5700 dəfə endirilib. Bu paketlərdə kripto pul kisələrini əvəz etmək üçün skript əvəzinə standart W4SP-Stealer komponenti istifadə edilmişdir ki, bu da yerli sistemdə saxlanılan parollar, giriş açarları, kripto pul kisələri, tokenlər, sessiya kukiləri və digər məxfi məlumatları axtarır və tapılmış faylları göndərir. Discord vasitəsilə.
W4SP-Stealer-ə zəng mətn redaktorunda görünən sahədən kənarda __import__-a zəng etmək üçün çoxlu boşluqlarla ayrılmış setup.py və ya __init__.py fayllarında "__import__" ifadəsini əvəz etməklə həyata keçirilib. "__import__" bloku Base64 blokunu deşifrə etdi və onu müvəqqəti fayla yazdı. Blokda W4SP Stealer proqramını yükləmək və sistemə quraşdırmaq üçün skript var idi. “__import__” ifadəsinin əvəzinə bəzi paketlərdəki zərərli blok setup.py skriptindən “pip install” çağırışından istifadə edərək əlavə paket quraşdıraraq quraşdırılıb.
Kripto pul kisəsinin nömrələrini saxtalaşdıran müəyyən edilmiş zərərli paketlər:
- gözəl şorba 4
- gözəl sup4
- kloorama
- kriptoqrafiya
- kriptoqrafiya
- djangoo
- salam dünya nümunəsi
- salam dünya nümunəsi
- ipyhton
- poçt təsdiqləyicisi
- mysql-bağlayıcı-pyhton
- notebook
- pautogiu
- pygaem
- pythorhc
- python-dateuti
- piton kolbası
- piton3-kolba
- pyyalm
- xahiş edir
- slenium
- sqlachemy
- sqlalcemy
- trikotajçı
- urllib
Sistemdən həssas məlumatları göndərən müəyyən edilmiş zərərli paketlər:
- typesutil
- yazı teli
- sutiltype
- duet
- fatnoob
- Strinfer
- pydprotect
- incrivelsim
- twyne
- piptext
- quraşdırma
- faq
- colorwin
- sorğular-httpx
- Colorama
- şaasiqma
- simli
- felpesviadinho
- sərv
- pystyte
- pyslyte
- pystyle
- pyurllib
- alqoritmik
- ooh
- yaa
- curlapi
- tip-rəng
- pixintlər
Mənbə: opennet.ru