Yn y catalog PyPI (Mynegai Pecyn Python), nodwyd 26 o becynnau maleisus yn cynnwys cod obfuscated yn y sgript setup.py, sy'n pennu presenoldeb dynodwyr waled crypto yn y clipfwrdd ac yn eu newid i waled yr ymosodwr (tybir wrth wneud taliad, ni fydd y dioddefwr yn sylwi bod yr arian a drosglwyddwyd trwy'r rhif waled cyfnewid clipfwrdd yn wahanol).
Mae'r amnewid yn cael ei berfformio gan sgript JavaScript, sydd, ar ôl gosod y pecyn maleisus, wedi'i fewnosod yn y porwr ar ffurf ychwanegyn porwr, sy'n cael ei weithredu yng nghyd-destun pob tudalen we a welir. Mae'r broses gosod ychwanegion yn benodol i lwyfan Windows ac fe'i gweithredir ar gyfer porwyr Chrome, Edge a Brave. Yn cefnogi ailosod waledi ar gyfer ETH, BTC, BNB, LTC a TRX cryptocurrencies.
Mae pecynnau maleisus yn cael eu cuddio yn y cyfeiriadur PyPI fel rhai llyfrgelloedd poblogaidd sy'n defnyddio typequatting (aseinio enwau tebyg sy'n wahanol mewn nodau unigol, er enghraifft, examplepl yn lle enghraifft, djangoo yn lle django, pyhton yn lle python, ac ati). Gan fod y clonau a grëwyd yn atgynhyrchu llyfrgelloedd cyfreithlon yn llwyr, yn wahanol mewn mewnosodiad maleisus yn unig, mae ymosodwyr yn dibynnu ar ddefnyddwyr disylw a wnaeth deip ac ni sylwodd ar y gwahaniaeth yn yr enw wrth chwilio. Gan ystyried poblogrwydd y llyfrgelloedd cyfreithlon gwreiddiol (mae nifer y lawrlwythiadau yn fwy na 21 miliwn o gopïau'r dydd), pa glonau maleisus sy'n cael eu cuddio, mae'r tebygolrwydd o ddal dioddefwr yn eithaf uchel; er enghraifft, awr ar ôl cyhoeddi'r pecyn maleisus cyntaf, fe'i lawrlwythwyd fwy na 100 o weithiau.
Mae'n werth nodi bod yr un grŵp o ymchwilwyr wythnos yn ôl wedi nodi 30 o becynnau maleisus eraill yn PyPI, rhai ohonynt hefyd wedi'u cuddio fel llyfrgelloedd poblogaidd. Yn ystod yr ymosodiad, a barodd tua phythefnos, cafodd pecynnau maleisus eu llwytho i lawr 5700 o weithiau. Yn lle sgript i ddisodli waledi crypto yn y pecynnau hyn, defnyddiwyd y gydran safonol W4SP-Stealer, sy'n chwilio'r system leol am gyfrineiriau wedi'u cadw, allweddi mynediad, waledi crypto, tocynnau, Sesiwn Cwcis a gwybodaeth gyfrinachol arall, ac yn anfon y ffeiliau a ddarganfuwyd trwy Discord.
Gwnaethpwyd yr alwad i W4SP-Stealer trwy amnewid yr ymadrodd "__import__" i'r ffeiliau setup.py neu __init__.py, a wahanwyd gan nifer fawr o leoedd i wneud yr alwad i __import__ y tu allan i'r ardal weladwy yn y golygydd testun. Dadgodiodd y bloc "__import__" y bloc Base64 a'i ysgrifennu i ffeil dros dro. Roedd y bloc yn cynnwys sgript ar gyfer lawrlwytho a gosod W4SP Stealer ar y system. Yn lle'r ymadrodd “__import__”, gosodwyd y bloc maleisus mewn rhai pecynnau trwy osod pecyn ychwanegol gan ddefnyddio'r alwad “pip install” o'r sgript setup.py.
Pecynnau maleisus a nodwyd sy'n ffugio rhifau waledi crypto:
- baeutifulsoup4
- hyfryd 4
- cloorama
- criptograffi
- crpytograffeg
- djangoo
- helo-fyd-enghraifft
- helo-fyd-enghraifft
- ipyhton
- post-ddilyswr
- mysql-cysylltydd-pyhton
- llyfr nodiadau
- pyautogiu
- pygamem
- pythorhc
- python-dateuti
- python-fflasg
- python3-fflasg
- pyyalm
- rqeuests
- sleniwm
- sglachemi
- sqlalcemy
- tkniter
- urllib
Pecynnau maleisus a nodwyd yn anfon data sensitif o'r system:
- typeutil
- teipio
- sutiltype
- deuawd
- fatnoob
- stringer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- cwestiynau cyffredin
- lliwwin
- ceisiadau-httpx
- lliwiauama
- shaasigma
- llinyn
- felpesviadinho
- cypreswydden
- pystyt
- pyslyte
- pystyle
- pyurllib
- algorithmig
- ooh
- iawn
- cyrlapi
- math-liw
- peintiau
Ffynhonnell: opennet.ru