PyPI (Python Package Index) kataloogis tuvastati 26 pahatahtlikku paketti, mis sisaldasid skripti setup.py hägustatud koodi, mis määrab krüptorahakoti identifikaatorite olemasolu lõikepuhvril ja muudab need ründaja rahakotiks (eeldatakse, et tegemisel makse, ohver ei märka, et lõikepuhvrisse kantud raha rahakoti number on erinev).
Asenduse teostab JavaScripti skript, mis peale pahatahtliku paketi installimist manustatakse brauserisse brauseri lisandmoodulina, mis käivitatakse iga vaadatud veebilehe kontekstis. Lisandmooduli installiprotsess on spetsiifiline Windowsi platvormile ja seda rakendatakse Chrome'i, Edge'i ja Brave'i brauserite jaoks. Toetab ETH, BTC, BNB, LTC ja TRX krüptovaluutade rahakottide vahetamist.
Pahatahtlikud paketid on PyPI kataloogis varjatud mõnede populaarsete teekidena, mis kasutavad typequatting'i (määrates sarnased nimed, mis erinevad üksikute märkide poolest, näiteks exampl asemel näide, djangoo asemel django, pyhton asemel python jne). Kuna loodud kloonid kopeerivad täielikult seaduslikke teeke, erinedes ainult pahatahtliku sisestuse poolest, tuginevad ründajad tähelepanematutele kasutajatele, kes tegid kirjavea ega märganud otsimisel nime erinevust. Arvestades originaalsete legitiimsete raamatukogude populaarsust (allalaadimiste arv ületab 21 miljonit eksemplari päevas), milleks pahatahtlikud kloonid maskeeritakse, on ohvri tabamise tõenäosus üsna suur, näiteks tund pärast raamatu avaldamist. esimene pahatahtlik pakett, laaditi seda alla rohkem kui 100 korda.
Tähelepanuväärne on, et nädal tagasi tuvastas sama teadlaste rühm PyPI-s veel 30 pahatahtlikku paketti, millest mõned olid maskeeritud ka populaarseteks raamatukogudeks. Umbes kaks nädalat kestnud rünnaku käigus laaditi pahatahtlikke pakette alla 5700 korda. Nendes pakettides krüptorahakotte asendava skripti asemel kasutati standardkomponenti W4SP-Stealer, mis otsib kohalikust süsteemist salvestatud paroole, juurdepääsuvõtmeid, krüptorahakotte, žetoone, seansiküpsiseid ja muud konfidentsiaalset teavet ning saadab leitud failid. Discordi kaudu.
Väljakutse W4SP-Stealerile tehti, asendades faili setup.py või __init__.py väljendiga "__import__", mis eraldati suure arvu tühikutega, et teha kõne __import__ väljaspool tekstiredaktoris nähtavat ala. Plokk "__import__" dekodeeris Base64 ploki ja kirjutas selle ajutisse faili. Plokk sisaldas skripti W4SP Stealeri allalaadimiseks ja süsteemi installimiseks. Avaldise „__import__” asemel installiti mõnes paketis olev pahatahtlik blokk, installides lisapaketi, kasutades skripti setup.py kõnet „pip install”.
Tuvastatud pahatahtlikud paketid, mis võltsivad krüptorahakoti numbreid:
- kaunis supp4
- ilussup4
- cloorama
- krüptograafia
- krütograafia
- djangoo
- tere-maailm-näide
- tere-maailm-näide
- ipyhton
- mail-validaator
- mysql-connector-pyhton
- märkmik
- pyautogiu
- pügaem
- pythorhc
- python-dateuti
- python-kolb
- python3-kolb
- pyyalm
- nõuded
- slenium
- sqlachemy
- sqlalcemy
- tkuduja
- urllib
Tuvastatud pahatahtlikud paketid, mis saadavad süsteemist tundlikke andmeid:
- typeutil
- kirjutuspael
- sutiltype
- duonet
- fatnoob
- rangem
- pydprotect
- incrivelsim
- twyne
- püptekst
- installpy
- KKK
- colorwin
- taotlused-httpx
- Colorama
- shaasigma
- string
- felpesviadinho
- küpress
- püstite
- pyslyte
- vastule
- pyurllib
- algoritmiline
- ol
- hüvasti
- curlapi
- tüüp-värv
- pyhints
Allikas: opennet.ru