Dans le catalogue PyPI (Python Package Index), 26 packages malveillants ont été identifiés contenant du code obscurci dans le script setup.py, qui détermine la présence d'identifiants de portefeuille crypto dans le presse-papiers et les modifie dans le portefeuille de l'attaquant (on suppose que lors de la création un paiement, la victime ne remarquera pas que l'argent transféré via le numéro de portefeuille d'échange du presse-papiers est différent).
La substitution est effectuée par un script JavaScript qui, après l'installation du package malveillant, est intégré dans le navigateur sous la forme d'un module complémentaire de navigateur, qui est exécuté dans le contexte de chaque page Web consultée. Le processus d'installation du module complémentaire est spécifique à la plate-forme Windows et est implémenté pour les navigateurs Chrome, Edge et Brave. Prend en charge le remplacement des portefeuilles pour les crypto-monnaies ETH, BTC, BNB, LTC et TRX.
Les packages malveillants sont déguisés dans le répertoire PyPI en bibliothèques populaires utilisant le typequatting (attribuant des noms similaires qui diffèrent par des caractères individuels, par exemple, example au lieu d'exemple, djangoo au lieu de django, pyhton au lieu de python, etc.). Étant donné que les clones créés reproduisent complètement des bibliothèques légitimes, ne différant que par une insertion malveillante, les attaquants s'appuient sur des utilisateurs inattentifs qui ont fait une faute de frappe et n'ont pas remarqué la différence dans le nom lors de la recherche. Compte tenu de la popularité des bibliothèques originales légitimes (le nombre de téléchargements dépasse 21 millions de copies par jour), sous lesquelles se déguisent les clones malveillants, la probabilité d'attraper une victime est assez élevée ; par exemple, une heure après la publication du premier package malveillant, il a été téléchargé plus de 100 fois.
Il est à noter qu'il y a une semaine, le même groupe de chercheurs a identifié 30 autres packages malveillants dans PyPI, dont certains étaient également déguisés en bibliothèques populaires. Au cours de l’attaque, qui a duré environ deux semaines, des packages malveillants ont été téléchargés 5700 4 fois. Au lieu d'un script pour remplacer les portefeuilles cryptographiques dans ces packages, le composant standard WXNUMXSP-Stealer a été utilisé, qui recherche dans le système local les mots de passe enregistrés, les clés d'accès, les portefeuilles cryptographiques, les jetons, les cookies de session et d'autres informations confidentielles, et envoie les fichiers trouvés. via Discorde.
L'appel à W4SP-Stealer a été effectué en remplaçant l'expression "__import__" dans les fichiers setup.py ou __init__.py, qui a été séparée par un grand nombre d'espaces pour effectuer l'appel à __import__ en dehors de la zone visible dans l'éditeur de texte. Le bloc "__import__" a décodé le bloc Base64 et l'a écrit dans un fichier temporaire. Le bloc contenait un script pour télécharger et installer W4SP Stealer sur le système. Au lieu de l'expression « __import__ », le bloc malveillant dans certains packages a été installé en installant un package supplémentaire à l'aide de l'appel « pip install » du script setup.py.
Packages malveillants identifiés qui usurpent les numéros de portefeuille cryptographique :
- bellesoup4
- bellesup4
- cloorama
- cryptographie
- cryptographie
- Djangoo
- bonjour-le-monde-exemple
- bonjour-le-monde-exemple
- ipyhton
- validateur de courrier
- connecteur mysql-pyhton
- cahier
- pyautogiu
- pygème
- pythorhc
- python-dateuti
- flacon-python
- python3-flacon
- pyyalm
- demandes
- slénium
- sqlachemie
- sqlalcemy
- tricoteur
- urllib
Packages malveillants identifiés envoyant des données sensibles depuis le système :
- typesutil
- chaîne de caractères
- sutiltype
- duo
- gros noob
- striner
- pydprotect
- incrivelsim
- twyne
- texte chiffré
- installateur
- FAQ
- colorwin
- demandes-httpx
- couleursama
- Shaasigma
- raffermit
- felpesviadinho
- cyprès
- poyé
- pyslyte
- vertical
- pyurllib
- algorithmique
- ol
- Bonjour
- curlapi
- type-couleur
- conseils
Source: opennet.ru