Sa katalogo sa PyPI (Python Package Index), 26 ka malisyoso nga mga pakete ang giila nga adunay obfuscated code sa setup.py script, nga nagtino sa presensya sa crypto wallet identifiers sa clipboard ug nag-ilis niini ngadto sa pitaka sa tig-atake (gihunahuna nga sa paghimo sa usa ka bayad, ang biktima dili makamatikod nga ang kwarta nga gibalhin pinaagi sa clipboard exchange wallet number lahi).
Ang pag-ilis gihimo sa usa ka script sa JavaScript, nga, pagkahuman sa pag-install sa malisyosong pakete, gi-embed sa browser sa porma sa usa ka add-on sa browser, nga gipatuman sa konteksto sa matag panid sa web nga gitan-aw. Ang proseso sa pag-install sa add-on espesipiko sa platform sa Windows ug gipatuman alang sa mga browser sa Chrome, Edge ug Brave. Nagsuporta sa pag-ilis sa mga pitaka alang sa ETH, BTC, BNB, LTC ug TRX cryptocurrencies.
Ang mga malisyoso nga pakete gitakuban sa direktoryo sa PyPI ingon nga pipila ka sikat nga mga librarya nga naggamit sa typequatting (paghatag parehas nga mga ngalan nga lahi sa indibidwal nga mga karakter, pananglitan, pananglitan, pananglitan, imbes nga pananglitan, djangoo imbes nga django, pyhton imbes nga python, ug uban pa). Tungod kay ang gibuhat nga mga clone hingpit nga nagsundog sa mga lehitimong librarya, nga nagkalahi lamang sa usa ka malisyoso nga pagsal-ot, ang mga tig-atake nagsalig sa walay pagtagad nga mga tiggamit nga naghimo sa usa ka typo ug wala makamatikod sa mga kalainan sa ngalan sa pagpangita. Gikonsiderar ang pagkapopular sa orihinal nga lehitimong mga librarya (ang gidaghanon sa mga pag-download milapas sa 21 milyon nga mga kopya kada adlaw), diin ang mga malisyosong clone nagtakuban nga, ang kalagmitan sa pagdakop sa usa ka biktima taas kaayo; pananglitan, usa ka oras human sa pagmantala sa unang malisyoso nga pakete, kini na-download labaw pa sa 100 ka beses.
Mamatikdan nga usa ka semana ang milabay ang parehas nga grupo sa mga tigdukiduki nagpaila sa 30 nga uban pang mga malisyoso nga pakete sa PyPI, ang pipila niini nagtakuban usab nga mga sikat nga librarya. Atol sa pag-atake, nga milungtad mga duha ka semana, ang mga malisyosong pakete gi-download sa 5700 ka beses. Imbis nga usa ka script aron mapulihan ang mga pitaka sa crypto sa kini nga mga pakete, gigamit ang sagad nga sangkap nga W4SP-Stealer, nga nangita sa lokal nga sistema alang sa mga gitipig nga password, mga yawe sa pag-access, mga pitaka sa crypto, mga token, Cookies sa sesyon ug uban pang kompidensyal nga kasayuran, ug ipadala ang nakit-an nga mga file. pinaagi sa Discord.
Ang pagtawag sa W4SP-Stealer gihimo pinaagi sa pag-ilis sa ekspresyong "__import__" sa setup.py o __init__.py nga mga file, nga gibulag sa daghang mga espasyo aron mahimo ang tawag sa __import__ sa gawas sa makita nga lugar sa editor sa teksto. Ang "__import__" block nag-decode sa Base64 block ug gisulat kini sa temporaryo nga file. Ang block adunay script alang sa pag-download ug pag-install sa W4SP Stealer sa sistema. Imbis sa "__import__" nga ekspresyon, ang malisyosong block sa pipila ka mga pakete gi-install pinaagi sa pag-instalar og dugang nga pakete gamit ang "pip install" nga tawag gikan sa setup.py script.
Nailhan nga malisyosong mga pakete nga nanglimbong sa mga numero sa crypto wallet:
- baeutifulsoup4
- nindotsup4
- cloorama
- cryptographyh
- crpytography
- djangoo
- hello-world-example
- hello-world-example
- ipyhton
- mail-validator
- mysql-connector-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-flask
- pyyalm
- mga pangutana
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Nailhan nga malisyosong mga pakete nga nagpadala sa sensitibo nga datos gikan sa sistema:
- typeutil
- typestring
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- FAQ
- colorwin
- mga hangyo-httpx
- colorsama
- shaasigma
- hilo
- felpesviadinho
- sipres
- pystyte
- pyslyte
- pystyle
- pyurllib
- algorithmic
- oiu
- ok ra
- curlapi
- tipo-kolor
- mga pyhint
Source: opennet.ru