PyPI (Python Package Index) કૅટેલોગમાં, setup.py સ્ક્રિપ્ટમાં અસ્પષ્ટ કોડ ધરાવતા 26 દૂષિત પેકેજોને ઓળખવામાં આવ્યા હતા, જે ક્લિપબોર્ડમાં ક્રિપ્ટો વૉલેટ ઓળખકર્તાઓની હાજરી નક્કી કરે છે અને તેને હુમલાખોરના વૉલેટમાં બદલી નાખે છે (એવું ધારવામાં આવે છે કે જ્યારે બનાવતી વખતે ચુકવણી, ભોગ બનનાર નોટિસ કરશે નહીં કે ક્લિપબોર્ડ એક્સચેન્જ વૉલેટ નંબર દ્વારા ટ્રાન્સફર કરાયેલા નાણાં અલગ છે).
અવેજી JavaScript સ્ક્રિપ્ટ દ્વારા કરવામાં આવે છે, જે દૂષિત પેકેજને ઇન્સ્ટોલ કર્યા પછી, બ્રાઉઝર એડ-ઓન સ્વરૂપમાં બ્રાઉઝરમાં એમ્બેડ કરવામાં આવે છે, જે દરેક વેબ પેજ જોવાયેલા સંદર્ભમાં ચલાવવામાં આવે છે. એડ-ઓન ઇન્સ્ટોલેશન પ્રક્રિયા વિન્ડોઝ પ્લેટફોર્મ માટે વિશિષ્ટ છે અને તે ક્રોમ, એજ અને બ્રેવ બ્રાઉઝર માટે લાગુ કરવામાં આવી છે. ETH, BTC, BNB, LTC અને TRX ક્રિપ્ટોકરન્સી માટે વૉલેટના રિપ્લેસમેન્ટને સપોર્ટ કરે છે.
દૂષિત પેકેજો PyPI ડિરેક્ટરીમાં ટાઇપક્વેટિંગનો ઉપયોગ કરીને કેટલીક લોકપ્રિય લાઇબ્રેરી તરીકે છૂપાવે છે (વ્યક્તિગત અક્ષરોમાં ભિન્ન હોય તેવા સમાન નામો સોંપવા, ઉદાહરણ તરીકે, ઉદાહરણને બદલે expl, djangoને બદલે django, pythonને બદલે pyhton, વગેરે). બનાવેલ ક્લોન્સ સંપૂર્ણપણે કાયદેસર લાઇબ્રેરીઓની નકલ કરે છે, જે ફક્ત દૂષિત નિવેશમાં જ અલગ છે, હુમલાખોરો બેદરકાર વપરાશકર્તાઓ પર આધાર રાખે છે જેમણે ટાઇપો કર્યો છે અને શોધ કરતી વખતે નામમાં તફાવત નોંધ્યો નથી. મૂળ કાયદેસર પુસ્તકાલયોની લોકપ્રિયતાને ધ્યાનમાં લેતા (ડાઉનલોડ્સની સંખ્યા દરરોજ 21 મિલિયન નકલો કરતાં વધી જાય છે), જે દૂષિત ક્લોન્સ તરીકે છૂપાવી દેવામાં આવે છે, પીડિતને પકડવાની સંભાવના ઘણી વધારે છે; ઉદાહરણ તરીકે, પ્રકાશનના એક કલાક પછી પ્રથમ દૂષિત પેકેજ, તે 100 થી વધુ વખત ડાઉનલોડ થયું હતું.
નોંધનીય છે કે એક અઠવાડિયા પહેલા સંશોધકોના સમાન જૂથે PyPI માં 30 અન્ય દૂષિત પેકેજોની ઓળખ કરી હતી, જેમાંથી કેટલાક લોકપ્રિય પુસ્તકાલયોના વેશમાં પણ હતા. લગભગ બે અઠવાડિયા સુધી ચાલેલા હુમલા દરમિયાન, દૂષિત પેકેજો 5700 વખત ડાઉનલોડ કરવામાં આવ્યા હતા. આ પેકેજોમાં ક્રિપ્ટો વોલેટ્સને બદલવા માટે સ્ક્રિપ્ટને બદલે, પ્રમાણભૂત ઘટક W4SP-Stealer નો ઉપયોગ કરવામાં આવ્યો હતો, જે સાચવેલા પાસવર્ડ્સ, એક્સેસ કી, ક્રિપ્ટો વોલેટ્સ, ટોકન્સ, સેશન કૂકીઝ અને અન્ય ગોપનીય માહિતી માટે સ્થાનિક સિસ્ટમને શોધે છે અને મળેલી ફાઇલો મોકલે છે. ડિસકોર્ડ દ્વારા.
W4SP-Stealer પરનો કૉલ setup.py અથવા __init__.py ફાઇલોમાં "__import__" અભિવ્યક્તિને બદલીને કરવામાં આવ્યો હતો, જે ટેક્સ્ટ એડિટરમાં દૃશ્યમાન વિસ્તારની બહાર __import__ પર કૉલ કરવા માટે મોટી સંખ્યામાં જગ્યાઓ દ્વારા અલગ કરવામાં આવી હતી. "__આયાત__" બ્લોકે બેઝ64 બ્લોકને ડીકોડ કર્યો અને તેને અસ્થાયી ફાઇલમાં લખ્યો. બ્લોકમાં સિસ્ટમ પર W4SP સ્ટીલર ડાઉનલોડ અને ઇન્સ્ટોલ કરવા માટેની સ્ક્રિપ્ટ હતી. "__import__" અભિવ્યક્તિને બદલે, કેટલાક પેકેજોમાં દૂષિત બ્લોકનો સમાવેશ setup.py સ્ક્રિપ્ટમાંથી "pip install" કૉલનો ઉપયોગ કરીને વધારાના પેકેજના ઇન્સ્ટોલેશન દ્વારા કરવામાં આવ્યો હતો.
ઓળખાયેલ દૂષિત પેકેજો કે જે ક્રિપ્ટો વોલેટ નંબરોની છેડતી કરે છે:
- baeutifulsoup4
- beautifulsup4
- ક્લોરામા
- ક્રિપ્ટોગ્રાફી
- ક્રિપ્ટોગ્રાફી
- જંગુ
- હેલો-વિશ્વ-ઉદાહરણ
- હેલો-વિશ્વ-ઉદાહરણ
- ipyhton
- મેઇલ-વેલીડેટર
- mysql-connector-pyhton
- નોટબોક
- pyautogiu
- પિગેમ
- pythorhc
- python-dateuti
- python-flask
- python3-flask
- pyyalm
- rqeuests
- સ્લેનિયમ
- sqlachemy
- sqlalcemy
- tkniter
- urllib
સિસ્ટમમાંથી સંવેદનશીલ ડેટા મોકલતા દૂષિત પેકેજો ઓળખાયા:
- ટાઈપસુટીલ
- ટાઇપસ્ટ્રિંગ
- sutiltype
- duonet
- fatnoob
- કડક
- pydprotect
- અસ્પષ્ટ
- સૂતળી
- pyptext
- installpy
- FAQ
- કલરવિન
- વિનંતીઓ-httpx
- રંગસમા
- શાસિગ્મા
- તાર
- ફેલ્પેસ્વિઆદિન્હો
- સાયપ્રસ
- pystyte
- pyslyte
- પાયસ્ટાઇલ
- pyurllib
- ગાણિતીક નિયમો
- oiu
- બાય
- કર્લાપી
- પ્રકાર-રંગ
- સંકેતો
સોર્સ: opennet.ru