PyPI (Python Package Index) -luettelossa tunnistettiin 26 haitallista pakettia, jotka sisältävät hämärää koodia setup.py-skriptissä, joka määrittää salauslompakkotunnisteiden esiintymisen leikepöydällä ja muuttaa ne hyökkääjän lompakoksi (oletetaan, että tehtäessä maksua, uhri ei huomaa, että leikepöydän kautta siirretty raha on erilainen).
Korvaus suoritetaan JavaScript-komentosarjalla, joka haitallisen paketin asennuksen jälkeen upotetaan selaimeen selaimen lisäosan muodossa, joka suoritetaan jokaisen katsotun verkkosivun yhteydessä. Lisäosien asennusprosessi on erityinen Windows-alustalle ja se on toteutettu Chrome-, Edge- ja Brave-selaimissa. Tukee ETH-, BTC-, BNB-, LTC- ja TRX- kryptovaluuttojen lompakoiden vaihtamista.
Haitalliset paketit naamioituvat PyPI-hakemistossa suosituiksi kirjastoiksi, jotka käyttävät typesquattingia (määritetään samankaltaisia nimiä, jotka eroavat yksittäisistä merkeistä, esimerkiksi exampl esimerkin sijaan, djangoo django sijaan, pyhton pythonin sijaan jne.). Koska luodut kloonit replikoivat täysin laillisia kirjastoja, jotka eroavat vain haitallisesta lisäyksestä, hyökkääjät luottavat välinpitämättömiin käyttäjiin, jotka tekivät kirjoitusvirheen eivätkä huomanneet nimen eroa etsiessään. Kun otetaan huomioon alkuperäisten laillisten kirjastojen suosio (latausten määrä ylittää 21 miljoonaa kopiota päivässä), joiksi haitalliset kloonit naamioituvat, todennäköisyys saada uhri kiinni on melko suuri, esimerkiksi tunnin kuluttua julkaisun julkaisemisesta. ensimmäinen haitallinen paketti, se ladattiin yli 100 kertaa.
On huomionarvoista, että viikko sitten sama tutkijaryhmä tunnisti PyPI:stä 30 muuta haitallista pakettia, joista osa oli myös naamioitu suosituiksi kirjastoiksi. Noin kaksi viikkoa kestäneen hyökkäyksen aikana haitallisia paketteja ladattiin 5700 4 kertaa. Näissä paketeissa olevia kryptolompakoita korvaavan komentosarjan sijaan käytettiin vakiokomponenttia WXNUMXSP-Stealer, joka etsii paikallisesta järjestelmästä tallennettuja salasanoja, pääsyavaimia, kryptolompakoita, tunnuksia, istuntoevästeitä ja muuta luottamuksellista tietoa ja lähettää löydetyt tiedostot. Discordin kautta.
Kutsu W4SP-Stealerille tehtiin korvaamalla lauseke "__import__" setup.py- tai __init__.py-tiedostoihin, jotka erotettiin suurella määrällä välilyöntejä, jotta __import__ kutsuttiin tekstieditorin näkyvän alueen ulkopuolelle. "__import__" -lohko pursi Base64-lohkon ja kirjoitti sen väliaikaiseen tiedostoon. Lohko sisälsi skriptin W4SP Stealer -ohjelman lataamiseksi ja asentamiseksi järjestelmään. "__import__"-lausekkeen sijaan joidenkin pakettien haitallinen esto asennettiin asentamalla lisäpaketti setup.py-komentosarjan "pip install" -kutsulla.
Tunnistetut haitalliset paketit, jotka huijaavat kryptolompakkonumeroita:
- kaunis keitto 4
- kaunis mekko 4
- cloorama
- kryptografia
- kryptografia
- djangoo
- hei-maailma-esimerkki
- hei-maailma-esimerkki
- ipyhton
- sähköpostin vahvistaja
- mysql-connector-pyhton
- muistikirja
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-pullo
- python3-pullo
- pyyalm
- pyyntöjä
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Tunnistetut haitalliset paketit, jotka lähettävät arkaluonteisia tietoja järjestelmästä:
- typeutil
- kirjoitusmerkkijono
- sutiltype
- duonet
- fatnoob
- ankara
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- faq
- colorwin
- pyynnöt-httpx
- colorama
- shaasigma
- merkkijono
- felpesviadinho
- sypressi
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritmi
- ooh
- Iao
- curlapi
- tyyppi-väri
- pyhints
Lähde: opennet.ru