در کاتالوگ PyPI (شاخص بسته Python)، 26 بسته مخرب حاوی کد مبهم در اسکریپت setup.py شناسایی شد که وجود شناسه های کیف پول رمزنگاری را در کلیپ بورد تعیین می کند و آنها را به کیف پول مهاجم تغییر می دهد (فرض می شود که هنگام ساخت با پرداخت، قربانی متوجه نخواهد شد که پول منتقل شده از طریق شماره کیف پول صرافی کلیپ بورد متفاوت است).
این جایگزینی توسط یک اسکریپت جاوا اسکریپت انجام می شود که پس از نصب بسته مخرب، به صورت یک افزونه مرورگر در مرورگر تعبیه می شود که در متن هر صفحه وب مشاهده شده اجرا می شود. فرآیند نصب افزونه مختص پلتفرم ویندوز است و برای مرورگرهای کروم، اج و بریو پیاده سازی شده است. پشتیبانی از جایگزینی کیف پول برای ارزهای دیجیتال ETH، BTC، BNB، LTC و TRX.
بستههای مخرب در فهرست PyPI بهعنوان برخی از کتابخانههای محبوب با استفاده از تایپکوات (تخصیص نامهای مشابهی که در نویسههای جداگانه متفاوت هستند، به عنوان مثال، exampl به جای مثال، djangoo به جای django، pyhton به جای python و غیره) پنهان میشوند. از آنجایی که کلونهای ایجاد شده کاملاً کتابخانههای قانونی را تکرار میکنند و تنها در یک درج مخرب متفاوت هستند، مهاجمان به کاربران بیتوجهی متکی هستند که اشتباه تایپی کردهاند و در هنگام جستجو متوجه تفاوت در نام نشدهاند. با در نظر گرفتن محبوبیت کتابخانه های قانونی اصلی (تعداد دانلودها بیش از 21 میلیون نسخه در روز) که کلون های مخرب به عنوان آنها پنهان می شوند، احتمال دستگیری قربانی بسیار زیاد است؛ به عنوان مثال، یک ساعت پس از انتشار کتاب اولین بسته مخرب، بیش از 100 بار دانلود شد.
قابل توجه است که یک هفته پیش همین گروه از محققان 30 بسته مخرب دیگر را در PyPI شناسایی کردند که برخی از آنها به عنوان کتابخانه های محبوب نیز پنهان شده بودند. در طول این حمله که حدود دو هفته به طول انجامید، بسته های مخرب 5700 بار دانلود شدند. به جای اسکریپتی برای جایگزینی کیف پول های رمزنگاری شده در این بسته ها، از مؤلفه استاندارد W4SP-Stealer استفاده شده است که سیستم محلی را برای رمزهای عبور ذخیره شده، کلیدهای دسترسی، کیف پول های رمزنگاری، توکن ها، کوکی های جلسه و سایر اطلاعات محرمانه جستجو می کند و فایل های یافت شده را ارسال می کند. از طریق Discord.
فراخوانی W4SP-Stealer با جایگزینی عبارت "__import__" در فایل های setup.py یا __init__.py انجام شد که با تعداد زیادی فاصله از هم جدا شده بود تا با __import__ خارج از ناحیه قابل مشاهده در ویرایشگر متن تماس برقرار شود. بلوک "__import__" بلوک Base64 را رمزگشایی کرد و آن را در یک فایل موقت نوشت. بلوک حاوی یک اسکریپت برای دانلود و نصب W4SP Stealer بر روی سیستم بود. به جای عبارت "__import__"، بلوک مخرب در برخی بسته ها با نصب یک بسته اضافی با استفاده از فراخوانی "pip install" از اسکریپت setup.py نصب شد.
بسته های مخرب شناسایی شده که شماره های کیف پول رمزنگاری را جعل می کنند:
- baeutifulsoup4
- beautifulsup4
- کلوراما
- رمز نگاری
- رمز نگاری
- جنگو
- سلام-دنیا-مثال
- سلام-دنیا-مثال
- ipyhton
- اعتبار سنجی نامه
- mysql-connector-pyhton
- دفترچه یادداشت
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- فلاسک پایتون
- python3-flask
- پیالم
- rqeuests
- سلنیوم
- اسکلاشمی
- sqlalcemy
- tkniter
- urllib
بسته های مخرب شناسایی شده که داده های حساس را از سیستم ارسال می کنند:
- typeutil
- حروفچینی
- sutiltype
- دونفره
- فتنوب
- استرینفر
- pydprotect
- incrivelsim
- تواین
- pyptext
- installpy
- پرسش و پاسخ
- colorwin
- درخواست ها-httpx
- colorama
- شاسیگما
- رشته
- فلپسویادینیو
- درخت سرو
- پیستیت
- pyslyte
- پای استایل
- pyurllib
- الگوریتمی
- اوه
- یاو
- کورلاپی
- نوع رنگ
- pyhints
منبع: opennet.ru