No catálogo PyPI (Índice de paquetes Python), identificáronse 26 paquetes maliciosos que conteñen código ofuscado no script setup.py, que determina a presenza de identificadores de carteira criptográfica no portapapeis e cámbiaos pola carteira do atacante (suponse que ao facer un pago, a vítima non notará que o diñeiro transferido a través do número de carteira de cambio do portapapeis é diferente).
A substitución realízase mediante un script JavaScript que, despois de instalar o paquete malicioso, incorpórase no navegador en forma de complemento do navegador, que se executa no contexto de cada páxina web visualizada. O proceso de instalación do complemento é específico para a plataforma Windows e está implementado para os navegadores Chrome, Edge e Brave. Admite a substitución de carteiras para criptomonedas ETH, BTC, BNB, LTC e TRX.
Os paquetes maliciosos están disfrazados no directorio de PyPI como algunhas bibliotecas populares usando typesquatting (asignando nomes similares que difiran en caracteres individuais, por exemplo, exampl en lugar de exemplo, djangoo en lugar de django, pyhton en lugar de python, etc.). Dado que os clons creados replican completamente as bibliotecas lexítimas, que só se diferencian nunha inserción maliciosa, os atacantes confían en usuarios desatentos que cometeron un erro tipográfico e non notaron a diferenza no nome ao buscar. Tendo en conta a popularidade das bibliotecas lexítimas orixinais (o número de descargas supera os 21 millóns de copias ao día), de que clons maliciosos se disfrazan, a probabilidade de capturar unha vítima é bastante alta; por exemplo, unha hora despois da publicación do documento. primeiro paquete malicioso, descargouse máis de 100 veces.
Cabe destacar que hai unha semana o mesmo grupo de investigadores identificou outros 30 paquetes maliciosos en PyPI, algúns dos cales tamén estaban disfrazados de bibliotecas populares. Durante o ataque, que durou unhas dúas semanas, descargáronse paquetes maliciosos 5700 veces. En lugar dun script para substituír carteiras criptográficas nestes paquetes, utilizouse o compoñente estándar W4SP-Stealer, que busca no sistema local contrasinais gardados, claves de acceso, carteiras criptográficas, tokens, cookies de sesión e outra información confidencial, e envía os ficheiros atopados. vía Discord.
A chamada a W4SP-Stealer realizouse substituíndo a expresión "__import__" nos ficheiros setup.py ou __init__.py, que estaban separados por un gran número de espazos para facer a chamada a __import__ fóra da área visible no editor de texto. O bloque "__import__" decodificou o bloque Base64 e escribiuno nun ficheiro temporal. O bloque contiña un script para descargar e instalar W4SP Stealer no sistema. En lugar da expresión "__import__", o bloque malicioso nalgúns paquetes instalouse instalando un paquete adicional mediante a chamada "pip install" do script setup.py.
Identificáronse paquetes maliciosos que falsifican os números de carteira criptográfica:
- baeutifulsoup4
- fermosasup4
- cloorama
- criptografía
- criptografía
- djangoo
- ola-mundo-exemplo
- ola-mundo-exemplo
- ipyhton
- validador de correo
- mysql-connector-pyhton
- notebok
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- matraz de pitón
- python3-flask
- piyalm
- solicitudes
- eslenio
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identificáronse paquetes maliciosos que envían datos confidenciais desde o sistema:
- typesutil
- cadena tipográfica
- tipo sutil
- dunet
- gordo
- strinfer
- pydprotect
- incrivelsim
- tío
- pyptext
- installpy
- FAQ
- colorwin
- solicitudes-httpx
- colorsama
- shaasigma
- corda
- felpesviadinho
- ciprés
- pistito
- pislito
- pystyle
- pyurllib
- algorítmico
- oiu
- Ok
- curlapi
- tipo-cor
- pixintes
Fonte: opennet.ru