U katalogu PyPI (Python Package Index) pronađeno je 26 zlonamjernih paketa koji sadrže maskirani kod u skripti setup.py koja utvrđuje prisutnost identifikatora kripto novčanika u međuspremniku i mijenja ih u novčanik napadača (pretpostavlja se da prilikom izrade plaćanja, žrtva neće primijetiti da je broj novčanika prebačen kroz međuspremnik razmjene drugačiji).
Zamjenu vrši JavaScript skripta koja se nakon instaliranja zlonamjernog paketa ugrađuje u preglednik u obliku dodatka pregledniku koji se izvršava u kontekstu svake pregledane web stranice. Proces instalacije dodatka vezan je za Windows platformu i implementiran je za preglednike Chrome, Edge i Brave. Podržava zamjenu novčanika za kriptovalute ETH, BTC, BNB, LTC i TRX.
Zlonamjerni paketi maskirani su u PyPI direktoriju kao neke popularne biblioteke pomoću typequattinga (dodjeljivanje sličnih naziva koji se razlikuju u pojedinačnim znakovima, na primjer, exampl umjesto example, djangoo umjesto django, pyhton umjesto python, itd.). Budući da stvoreni klonovi u potpunosti ponavljaju legitimne biblioteke, razlikuju se samo u zlonamjernom umetku, napadači računaju na nepažljive korisnike koji su napravili pogrešku pri upisu i nisu primijetili razlike u nazivu prilikom pretraživanja. Uzimajući u obzir popularnost originalnih legitimnih biblioteka (broj preuzimanja premašuje 21 milijun kopija dnevno), koje su maskirane kao zlonamjerni klonovi, vjerojatnost hvatanja žrtve prilično je velika, na primjer, sat vremena nakon objavljivanja prvi maliciozni paket, preuzet je više od 100 puta.
Važno je napomenuti da je prije tjedan dana ista skupina istraživača identificirala 30 drugih zlonamjernih paketa u PyPI-ju, od kojih su se neki također maskirali kao popularne biblioteke. Tijekom napada, koji je trajao oko dva tjedna, maliciozni paketi preuzeti su 5700 puta. Umjesto skripte za zamjenu kripto novčanika, ovi su paketi koristili tipičnu komponentu W4SP-Stealer koja u lokalnom sustavu traži spremljene lozinke, pristupne ključeve, kripto novčanike, tokene, sesijske kolačiće i druge povjerljive informacije te šalje pronađene datoteke putem Discorda.
Poziv W4SP-Stealer-u napravljen je zamjenom izjave "__import__" u datotekama setup.py ili __init__.py, koja je bila odvojena velikim brojem razmaka, kako bi se poziv __import__ napravio izvan vidljivog područja u tekstu. urednik. U bloku "__import__", blok je dekodiran u formatu Base64 i zapisan u privremenu datoteku. Blok je sadržavao skriptu za preuzimanje i instalaciju W4SP Stealera na sustav. Umjesto izraza "__import__", zlonamjerni blok je povezan u nekim paketima instaliranjem dodatnog paketa pozivom "pip install" iz skripte setup.py.
Identificirani zlonamjerni paketi koji zamjenjuju brojeve kripto novčanika:
- lijepa juha4
- prekrasna4
- kloorama
- kriptografskih
- skriptiranje
- djangoo
- hello world primjer
- hello world primjer
- ipyhton
- mail-validator
- mysql-priključak-pyhton
- kutija za bilježnice
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-boca
- python3-boca
- pyyalm
- zahtjevi
- slenijum
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identificirani zlonamjerni paketi koji šalju osjetljive podatke iz sustava:
- typesutil
- tipski niz
- sutiltype
- duonet
- debeljuška
- strinfer
- pydprotect
- incrivelsim
- špaga
- pyptext
- installpy
- Pitanja
- colorwin
- zahtjevi-httpx
- bojama
- shaasigma
- strunati
- felpesviadinho
- čempres
- pystyle
- pyslyte
- pystyle
- pyrurllib
- algoritamski
- ol
- zdravo
- curlapi
- tip-boja
- pyhints
Izvor: opennet.ru