Yn de PyPI (Python Package Index) katalogus waarden 26 kweade pakketten identifisearre mei obfuscated koade yn it setup.py skript, dat bepaalt de oanwêzigens fan crypto wallet identifiers yn it klamboerd en feroaret se nei de oanfaller syn wallet (it wurdt oannommen dat by it meitsjen fan in betelling, it slachtoffer sil net merken dat it jild oerdroegen fia it klamboerd útwikseling wallet nûmer is oars).
De ferfanging wurdt útfierd troch in JavaScript-skript, dat, nei it ynstallearjen fan it kweade pakket, ynbêde is yn 'e browser yn' e foarm fan in browser-add-on, dy't wurdt útfierd yn 'e kontekst fan elke besjoen webside. It tafoegingsynstallaasjeproses is spesifyk foar it Windows-platfoarm en wurdt ymplementearre foar Chrome, Edge en Brave browsers. Unterstützt ferfanging fan wallets foar ETH, BTC, BNB, LTC en TRX Krypto-muntienheden.
Malicious pakketten wurde ferklaaid yn de PyPI triemtafel as guon populêre bibleteken mei help typesquatting (tawizen fan ferlykbere nammen dy't ferskille yn yndividuele karakters, bygelyks, exampl ynstee fan bygelyks, djangoo ynstee fan django, pyhton ynstee fan python, ensfh). Sûnt de oanmakke klonen legitime bibleteken folslein replikearje, allinich ferskillend yn in kweade ynfoegje, fertrouwe oanfallers op ûnopmerklike brûkers dy't in typflater makken en it ferskil yn 'e namme net opmurken by it sykjen. Mei it rekkenjen fan de populariteit fan 'e orizjinele legitime biblioteken (it oantal downloads is mear as 21 miljoen eksimplaren per dei), wêrmei't kweade klonen binne ferklaaid as, is de kâns op it fangen fan in slachtoffer frij heech; bygelyks in oere nei de publikaasje fan 'e earste kwea-aardich pakket, it waard ynladen mear as 100 kear.
It is opmerklik dat in wike lyn deselde groep ûndersikers 30 oare kweade pakketten identifisearre yn PyPI, wêrfan guon ek ferklaaid wiene as populêre bibleteken. By de oanfal, dy't sawat twa wiken duorre, waarden 5700 kear kweade pakketten ynladen. Yn stee fan in skript om krypto-slúven te ferfangen yn dizze pakketten, waard de standert komponint W4SP-Stealer brûkt, dy't it lokale systeem trochsykt foar bewarre wachtwurden, tagongskaaien, krypto-slúven, tokens, sesjekoekjes en oare fertroulike ynformaasje, en stjoert de fûne bestannen fia Discord.
De oprop oan W4SP-Stealer waard dien troch de útdrukking "__import__" te ferfangen yn 'e setup.py- of __init__.py-bestannen, dy't skieden waarden troch in grut oantal spaasjes om de oprop nei __import__ bûten it sichtbere gebiet yn 'e tekstbewurker te meitsjen. It blok "__import__" dekodearre it Base64-blok en skreau it nei in tydlik bestân. It blok befette in skript foar it downloaden en ynstallearjen fan W4SP Stealer op it systeem. Ynstee fan 'e "__import__"-ekspresje, waard it kweade blok yn guon pakketten ynstalleare troch in ekstra pakket te ynstallearjen mei de "pip install"-oprop fan it setup.py-skript.
Identifisearre kweade pakketten dy't crypto-slúfnûmers spoofje:
- moaisoep 4
- moaisup4
- cloorama
- kryptografy
- crpytography
- djangoo
- hallo-wrâld-foarbyld
- hallo-wrâld-foarbyld
- ipyhton
- mail-validator
- mysql-connector-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-fles
- python3-flask
- pyyalm
- rqeuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identifisearre kweade pakketten dy't gefoelige gegevens fan it systeem ferstjoere:
- typesutil
- typestring
- sutiltype
- duonet
- fatnoob
- strifer
- pydprotect
- incrivelsim
- twyn
- pyptekst
- installpy
- faq
- colorwin
- fersiken-httpx
- colorsama
- shaasigma
- string
- felpesviadinho
- sipres
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritmyske
- oiu
- ok
- curlapi
- type-kleur
- pyhints
Boarne: opennet.ru