En el catálogo PyPI (Python Package Index), se identificaron 26 paquetes maliciosos que contienen código ofuscado en el script setup.py, que determina la presencia de identificadores de billetera criptográfica en el portapapeles y los cambia a la billetera del atacante (se supone que al realizar un pago, la víctima no notará que el dinero transferido a través del número de billetera de intercambio del portapapeles es diferente).
La sustitución se realiza mediante un script JavaScript que, después de instalar el paquete malicioso, se incrusta en el navegador en forma de complemento del navegador y se ejecuta en el contexto de cada página web visitada. El proceso de instalación del complemento es específico de la plataforma Windows y está implementado para los navegadores Chrome, Edge y Brave. Admite el reemplazo de billeteras para criptomonedas ETH, BTC, BNB, LTC y TRX.
Los paquetes maliciosos se disfrazan en el directorio PyPI como algunas bibliotecas populares que utilizan tipos en cuclillas (asignando nombres similares que difieren en caracteres individuales, por ejemplo, ejemplo en lugar de ejemplo, djangoo en lugar de django, pyhton en lugar de python, etc.). Dado que los clones creados replican completamente bibliotecas legítimas, diferenciándose solo en una inserción maliciosa, los atacantes dependen de usuarios distraídos que cometieron un error tipográfico y no notaron la diferencia en el nombre durante la búsqueda. Teniendo en cuenta la popularidad de las bibliotecas originales legítimas (el número de descargas supera los 21 millones de copias por día), bajo las cuales se disfrazan los clones maliciosos, la probabilidad de atrapar a una víctima es bastante alta; por ejemplo, una hora después de la publicación del El primer paquete malicioso se descargó más de 100 veces.
Es de destacar que hace una semana el mismo grupo de investigadores identificó otros 30 paquetes maliciosos en PyPI, algunos de los cuales también estaban disfrazados de bibliotecas populares. Durante el ataque, que duró aproximadamente dos semanas, se descargaron paquetes maliciosos 5700 veces. En lugar de un script para reemplazar las billeteras criptográficas en estos paquetes, se utilizó el componente estándar W4SP-Stealer, que busca en el sistema local contraseñas guardadas, claves de acceso, billeteras criptográficas, tokens, cookies de sesión y otra información confidencial, y envía los archivos encontrados. vía Discordia.
La llamada a W4SP-Stealer se realizó sustituyendo la expresión "__import__" en los archivos setup.py o __init__.py, los cuales fueron separados por una gran cantidad de espacios para realizar la llamada a __import__ fuera del área visible en el editor de texto. El bloque "__import__" decodificó el bloque Base64 y lo escribió en un archivo temporal. El bloque contenía un script para descargar e instalar W4SP Stealer en el sistema. En lugar de la expresión "__import__", el bloque malicioso en algunos paquetes se instaló instalando un paquete adicional usando la llamada "pip install" desde el script setup.py.
Paquetes maliciosos identificados que falsifican números de billeteras criptográficas:
- sopabonita4
- hermosasup4
- cloorama
- criptografía
- criptografia
- djangoo
- hola-mundo-ejemplo
- hola-mundo-ejemplo
- ipyhton
- validador de correo
- conector-mysql-pyhton
- cuaderno
- piautogiu
- pigaema
- pythorhc
- python-dateuti
- matraz-python
- matraz python3
- pyalm
- solicitudes
- eslenio
- sqlachemia
- sqlalcemia
- tejedor
- URLlib
Paquetes maliciosos identificados que envían datos confidenciales desde el sistema:
- tipos útiles
- mecanografiado
- tipo sutil
- duonet
- gordo
- trinfer
- pydprotect
- incrivelsim
- tyyne
- texto pyp
- instalarpy
- FAQ
- colorwin
- solicitudes-httpx
- coloresama
- shaasigma
- aprieta
- felpesviadinho
- ciprés
- pistilo
- Pyslyte
- pystyle
- pyurllib
- algorítmico
- ol
- Hola
- curlapi
- tipo-color
- pistas
Fuente: opennet.ru