V katalogu PyPI (Python Package Index) bylo identifikováno 26 škodlivých balíčků obsahujících obfuskovaný kód ve skriptu setup.py, který zjišťuje přítomnost identifikátorů kryptopeněženky ve schránce a mění je na peněženku útočníka (předpokládá se, že při vytváření platba, oběť si nevšimne, že peníze převedené prostřednictvím výměnné peněženky ve schránce jsou jiné).
Náhradu provádí JavaScript skript, který se po instalaci škodlivého balíčku vloží do prohlížeče v podobě doplňku prohlížeče, který se spouští v kontextu každé prohlížené webové stránky. Proces instalace doplňku je specifický pro platformu Windows a je implementován pro prohlížeče Chrome, Edge a Brave. Podporuje výměnu peněženek za kryptoměny ETH, BTC, BNB, LTC a TRX.
Škodlivé balíčky jsou v adresáři PyPI maskovány jako některé populární knihovny pomocí typequattingu (přiřazování podobných názvů, které se liší v jednotlivých znacích, například examplepl místo example, djangoo místo django, pyhton místo python atd.). Vzhledem k tomu, že vytvořené klony zcela replikují legitimní knihovny, liší se pouze škodlivým vkládáním, útočníci spoléhají na nepozorné uživatele, kteří udělali překlep a při vyhledávání si nevšimli rozdílu v názvu. S přihlédnutím k popularitě původních legitimních knihoven (počet stažení přesahuje 21 milionů kopií za den), za které se škodlivé klony maskují, je pravděpodobnost dopadení oběti poměrně vysoká, například hodinu po zveřejnění první škodlivý balíček, byl stažen více než 100krát.
Je pozoruhodné, že před týdnem stejná skupina výzkumníků identifikovala 30 dalších škodlivých balíčků v PyPI, z nichž některé byly také maskovány jako oblíbené knihovny. Během útoku, který trval asi dva týdny, byly škodlivé balíčky staženy 5700krát. Místo skriptu pro nahrazení kryptopeněženek v těchto balíčcích byla použita standardní komponenta W4SP-Stealer, která v lokálním systému vyhledává uložená hesla, přístupové klíče, kryptopeněženky, tokeny, soubory cookie relace a další důvěrné informace a odešle nalezené soubory přes Discord.
Volání W4SP-Stealer bylo provedeno nahrazením výrazu "__import__" do souborů setup.py nebo __init__.py, které byly odděleny velkým počtem mezer pro volání __import__ mimo viditelnou oblast v textovém editoru. Blok "__import__" dekódoval blok Base64 a zapsal jej do dočasného souboru. Blok obsahoval skript pro stažení a instalaci W4SP Stealer do systému. Místo výrazu „__import__“ byl škodlivý blok v některých balíčcích nainstalován instalací dalšího balíčku pomocí volání „pip install“ ze skriptu setup.py.
Identifikované škodlivé balíčky, které podvrhují čísla kryptopeněženek:
- krásná polévka 4
- krásnýsup4
- cloorama
- kryptografie
- kryptografie
- djangoo
- ahoj-svět-příklad
- ahoj-svět-příklad
- ipyhton
- validátor pošty
- mysql-connector-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-baňka
- python3-flask
- pyyalm
- rqueuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identifikované škodlivé balíčky odesílající citlivá data ze systému:
- Typeutil
- psací řetězec
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- Nejčastější dotazy
- colorwin
- požadavky-httpx
- colorama
- shaasigma
- utahuje
- felpesviadinho
- cypřiš
- pystyte
- pyslyt
- pystyle
- pyurllib
- algoritmické
- ol
- Ahoj
- curlapi
- typ-barva
- pyhintové
Zdroj: opennet.ru