🥇Zlonamjerni paketi usmjereni na krađu kriptovaluta otkriveni su u PyPI repozitoriju

U katalogu PyPI (Python Package Index) identifikovano je 26 zlonamjernih paketa koji sadrže zamagljeni kod u skripti setup.py, koja utvrđuje prisustvo identifikatora kripto novčanika u međuspremniku i mijenja ih u novčanik napadača (pretpostavlja se da će prilikom izrade plaćanje, žrtva neće primijetiti da je novac prebačen preko broja novčanika za razmjenu međuspremnika različit).

Подмену выполняет сценарий JavaScript, который после установки вредоносного пакета встраивается в браузер в форме браузерного дополнения, которое выполняется в контексте каждой просматриваемой web-страницы. Процесс установки дополнения привязан к платформе Windows и реализован для браузеров Chrome, Edge и Brave. Поддерживается подмена кошельков для криптовалют ETH, BTC, BNB, LTC и TRX.

Zlonamjerni paketi su prikriveni u PyPI direktoriju kao neke popularne biblioteke koje koriste typequatting (dodjeljivanje sličnih imena koja se razlikuju po pojedinačnim znakovima, na primjer, exampl umjesto primjera, djangoo umjesto django, pyhton umjesto python, itd.). Budući da kreirani klonovi u potpunosti repliciraju legitimne biblioteke, razlikuju se samo po zlonamjernom umetanju, napadači se oslanjaju na nepažljive korisnike koji su napravili grešku u kucanju i nisu uočili razlike u nazivu prilikom pretraživanja. Uzimajući u obzir popularnost originalnih legitimnih biblioteka (broj preuzimanja premašuje 21 milion kopija dnevno), u koje se prikrivaju zlonamerni klonovi, verovatnoća da će se uhvatiti žrtva je prilično velika, na primer, sat vremena nakon objavljivanja prvi zlonamjerni paket, preuzet je više od 100 puta.

Važno je napomenuti da je pre nedelju dana ista grupa istraživača identifikovala 30 drugih zlonamernih paketa u PyPI-ju, od kojih su neki takođe bili maskirani kao popularne biblioteke. Tokom napada, koji je trajao oko dvije sedmice, zlonamjerni paketi su preuzeti 5700 puta. Umjesto skripte za zamjenu kripto novčanika u ovim paketima, korištena je standardna komponenta W4SP-Stealer, koja u lokalnom sistemu traži sačuvane lozinke, pristupne ključeve, kripto novčanike, tokene, kolačiće sesije i druge povjerljive informacije, te šalje pronađene datoteke. preko Discord-a.

Poziv W4SP-Stealer-a je obavljen zamjenom izraza "__import__" u setup.py ili __init__.py fajlovima, koji su bili odvojeni velikim brojem razmaka da bi se izvršio poziv __import__ izvan vidljivog područja u uređivaču teksta. Blok "__import__" je dekodirao Base64 blok i upisao ga u privremenu datoteku. Blok je sadržavao skriptu za preuzimanje i instaliranje W4SP Stealer-a na sistem. Umjesto izraza “__import__”, zlonamjerni blok u nekim paketima instaliran je instaliranjem dodatnog paketa korištenjem poziva “pip install” iz skripte setup.py.