En la katalogo de PyPI (Python Package Index), 26 malicaj pakaĵoj estis identigitaj enhavantaj malklarigitan kodon en la skripto setup.py, kiu determinas la ĉeeston de kriptaj monujo-identigiloj en la tondujo kaj ŝanĝas ilin al la monujo de la atakanto (oni supozas, ke kiam oni faras pago, la viktimo ne rimarkos, ke la mono transdonita tra la tondujo interŝanĝa monujo nombro estas malsama).
La anstataŭigo estas farita per JavaScript-skripto, kiu, post instalo de la malica pako, estas enigita en la retumilo en formo de retumila aldonaĵo, kiu estas ekzekutita en la kunteksto de ĉiu retpaĝo vidita. La procezo de instalado de aldonaĵo estas specifa por la Vindoza platformo kaj estas efektivigita por retumiloj Chrome, Edge kaj Brave. Subtenas anstataŭigon de monujoj por kriptaj moneroj ETH, BTC, BNB, LTC kaj TRX.
Malicaj pakaĵoj estas kaŝvestitaj en la dosierujo PyPI kiel iuj popularaj bibliotekoj uzante tajpadon (asignante similajn nomojn kiuj malsamas en individuaj signoj, ekzemple, ekzampl anstataŭ ekzemplo, djangoo anstataŭ django, pyhton anstataŭ python, ktp.). Ĉar la kreitaj klonoj tute reproduktas laŭleĝajn bibliotekojn, diferencante nur per malica enmeto, atakantoj dependas de senatentaj uzantoj, kiuj faris tajperaron kaj ne rimarkis la diferencon en la nomo dum serĉado. Konsiderante la popularecon de la originalaj legitimaj bibliotekoj (la nombro da elŝutoj superas 21 milionojn da kopioj tage), al kiuj malicaj klonoj estas kaŝitaj, la probablo kapti viktimon estas sufiĉe alta; ekzemple, unu horon post la publikigo de la unua malica pako, ĝi estis elŝutita pli ol 100 fojojn.
Estas rimarkinde, ke antaŭ unu semajno la sama grupo de esploristoj identigis 30 aliajn malicajn pakaĵojn en PyPI, kelkaj el kiuj ankaŭ estis maskitaj kiel popularaj bibliotekoj. Dum la atako, kiu daŭris ĉirkaŭ du semajnojn, malicaj pakaĵoj estis elŝutitaj 5700 4 fojojn. Anstataŭ skripto por anstataŭigi kriptajn monujojn en ĉi tiuj pakoj, oni uzis la norman komponanton WXNUMXSP-Stealer, kiu serĉas en la loka sistemo konservitajn pasvortojn, alirŝlosilojn, kriptajn monujojn, ĵetonojn, sesiajn Kuketojn kaj aliajn konfidencajn informojn, kaj sendas la trovitajn dosierojn. per Discord.
La alvoko al W4SP-Stealer estis farita anstataŭigante la esprimon "__import__" en la setup.py aŭ __init__.py dosierojn, kiuj estis apartigitaj per granda nombro da spacoj por fari la vokon al __import__ ekster la videbla areo en la tekstredaktilo. La bloko "__import__" malkodis la Base64-blokon kaj skribis ĝin al provizora dosiero. La bloko enhavis skripton por elŝuti kaj instali W4SP Stealer sur la sistemo. Anstataŭ la esprimo "__import__", la inkludo de la malica bloko en iuj pakaĵoj estis efektivigita per la instalado de plia pako uzante la alvokon "pip install" de la setup.py skripto.
Identigitaj malicaj pakaĵoj, kiuj falsigas kriptajn monujojn:
- baeutifulsoup4
- belasup4
- cloorama
- kriptografio
- kriptografio
- djangoo
- saluton-monda-ekzemplo
- saluton-monda-ekzemplo
- ipyhton
- mail-validator
- mysql-konektilo-pyhton
- notujo
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flasko
- python3-flasko
- pyyalm
- petas
- slenio
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identigitaj malicaj pakaĵoj sendantaj sentemajn datumojn de la sistemo:
- typesutil
- tajpŝnuro
- sutiltipo
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twine
- pipteksto
- instalpy
- Oftaj Demandoj
- kolorwin
- petoj-httpx
- colorsama
- shaasigma
- ŝnuro
- felpesviadinho
- cipreso
- pistito
- pislito
- pistilo
- pyurllib
- algoritma
- oiu
- iao
- curlapi
- tipo-koloro
- pyhints
fonto: opennet.ru