Im PyPI-Katalog (Python Package Index) wurden 26 Schadpakete identifiziert, die verschleierten Code im Skript setup.py enthalten, das das Vorhandensein von Krypto-Wallet-Identifikatoren in der Zwischenablage ermittelt und diese in die Wallet des Angreifers umwandelt (es wird davon ausgegangen, dass bei der Erstellung Bei einer Zahlung wird das Opfer nicht bemerken, dass das über die Zwischenablage-Börse übertragene Geld unterschiedlich ist.
Die Ersetzung erfolgt durch ein JavaScript-Skript, das nach der Installation des Schadpakets in Form eines Browser-Add-Ons in den Browser eingebettet wird und im Kontext jeder aufgerufenen Webseite ausgeführt wird. Der Add-on-Installationsprozess ist spezifisch für die Windows-Plattform und wird für die Browser Chrome, Edge und Brave implementiert. Unterstützt den Austausch von Wallets für die Kryptowährungen ETH, BTC, BNB, LTC und TRX.
Schädliche Pakete werden im PyPI-Verzeichnis mithilfe von Typesquatting als einige beliebte Bibliotheken getarnt (durch Zuweisung ähnlicher Namen, die sich in einzelnen Zeichen unterscheiden, zum Beispiel „exampl“ statt „example“, „djangoo“ statt „django“, „pyhton“ statt „python“ usw.). Da die erstellten Klone legitime Bibliotheken vollständig replizieren und sich nur durch eine böswillige Einfügung unterscheiden, verlassen sich Angreifer auf unaufmerksame Benutzer, die einen Tippfehler gemacht haben und bei der Suche den Unterschied im Namen nicht bemerkt haben. Berücksichtigt man die Beliebtheit der ursprünglichen legitimen Bibliotheken (die Anzahl der Downloads übersteigt 21 Millionen Exemplare pro Tag), als die bösartige Klone getarnt werden, ist die Wahrscheinlichkeit, ein Opfer zu fangen, recht hoch; beispielsweise eine Stunde nach der Veröffentlichung der Als erstes bösartiges Paket wurde es mehr als 100 Mal heruntergeladen.
Bemerkenswert ist, dass dieselbe Forschergruppe vor einer Woche 30 weitere Schadpakete in PyPI identifizierte, von denen einige ebenfalls als beliebte Bibliotheken getarnt waren. Während des etwa zweiwöchigen Angriffs wurden 5700 Mal Schadpakete heruntergeladen. Anstelle eines Skripts zum Ersetzen von Krypto-Wallets in diesen Paketen wurde die Standardkomponente W4SP-Stealer verwendet, die das lokale System nach gespeicherten Passwörtern, Zugriffsschlüsseln, Krypto-Wallets, Tokens, Sitzungscookies und anderen vertraulichen Informationen durchsucht und die gefundenen Dateien versendet über Discord.
Der Aufruf von W4SP-Stealer erfolgte durch Ersetzen des Ausdrucks „__import__“ in den Dateien setup.py oder __init__.py, der durch eine große Anzahl von Leerzeichen getrennt wurde, um den Aufruf von __import__ außerhalb des sichtbaren Bereichs im Texteditor durchzuführen. Der „__import__“-Block dekodierte den Base64-Block und schrieb ihn in eine temporäre Datei. Der Block enthielt ein Skript zum Herunterladen und Installieren von W4SP Stealer auf dem System. Anstelle des Ausdrucks „__import__“ wurde der schädliche Block in einigen Paketen durch die Installation eines zusätzlichen Pakets mithilfe des Aufrufs „pip install“ aus dem Skript setup.py installiert.
Identifizierte Schadpakete, die Krypto-Wallet-Nummern fälschen:
- schöne Suppe4
- beautifulsup4
- Cloorama
- Kryptographie
- Kryptographie
- Djangoo
- Hallo-Welt-Beispiel
- Hallo-Welt-Beispiel
- ipyhton
- E-Mail-Validator
- MySQL-Connector-Pyhton
- Notizbuch
- pyautogiu
- Pygaem
- pythorhc
- Python-Dateuti
- Python-Flasche
- Python3-Flasche
- pyyalm
- Anfragen
- Slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identifizierte Schadpakete, die sensible Daten vom System senden:
- Typenutil
- Typzeichenfolge
- sutiltyp
- Duonet
- fettnoob
- Streber
- pydprotect
- unkritisch
- zwei
- Text
- installpy
- FAQ
- Farbe gewinnen
- Anfragen-httpx
- Farbama
- Schaasigma
- strafft
- felpesviadinho
- Zypresse
- Poyte
- Pyslyt
- vertikal
- pyurllib
- algorithmisch
- ol
- Hallo
- kräusel
- Typ-Farbe
- Hinweise
Source: opennet.ru