PyPI (Python Package Index) կատալոգում հայտնաբերվել են 26 վնասակար փաթեթներ, որոնք պարունակում են շղարշված կոդ setup.py սկրիպտում, որը որոշում է կրիպտո դրամապանակի նույնացուցիչների առկայությունը clipboard-ում և դրանք փոխում է հարձակվողի դրամապանակին (ենթադրվում է, որ կատարելիս վճարում, տուժողը չի նկատի, որ clipboard փոխանակման դրամապանակի համարով փոխանցված գումարը տարբեր է):
Փոխարինումը կատարվում է JavaScript սկրիպտով, որը վնասակար փաթեթը տեղադրելուց հետո զննարկիչում զետեղվում է հավելման տեսքով, որն իրականացվում է յուրաքանչյուր դիտված վեբ էջի համատեքստում։ Հավելվածի տեղադրման գործընթացը հատուկ է Windows հարթակին և իրականացվում է Chrome, Edge և Brave բրաուզերների համար։ Աջակցում է դրամապանակների փոխարինմանը ETH, BTC, BNB, LTC և TRX կրիպտոարժույթների համար:
Վնասակար փաթեթները քողարկված են PyPI գրացուցակում որպես որոշ հանրաճանաչ գրադարաններ՝ օգտագործելով typequatting (նշանակում են նմանատիպ անուններ, որոնք տարբերվում են առանձին նիշերով, օրինակ՝ օրինակ՝ օրինակի փոխարեն, djangoo՝ django-ի փոխարեն, pyhton՝ python-ի փոխարեն և այլն): Քանի որ ստեղծված կլոններն ամբողջությամբ կրկնօրինակում են օրինական գրադարանները՝ տարբերվելով միայն վնասակար ներդիրով, հարձակվողները ապավինում են անուշադիր օգտատերերին, ովքեր տառասխալ են արել և որոնելիս չեն նկատել անվան տարբերությունը: Հաշվի առնելով օրիգինալ օրինական գրադարանների ժողովրդականությունը (ներբեռնումների թիվը գերազանցում է օրական 21 միլիոն օրինակը), որոնց չարամիտ կլոնները քողարկվում են, զոհին բռնելու հավանականությունը բավականին մեծ է, օրինակ՝ հրապարակումից մեկ ժամ անց. առաջին վնասակար փաթեթը, այն ներբեռնվել է ավելի քան 100 անգամ:
Հատկանշական է, որ մեկ շաբաթ առաջ հետազոտողների նույն խումբը PyPI-ում հայտնաբերել էր 30 այլ վնասակար փաթեթներ, որոնցից մի քանիսը նույնպես քողարկված էին որպես հայտնի գրադարաններ։ Մոտ երկու շաբաթ տևած գրոհի ընթացքում վնասակար փաթեթներ են ներբեռնվել 5700 անգամ։ Այս փաթեթներում կրիպտո դրամապանակները փոխարինող սկրիպտի փոխարեն օգտագործվել է W4SP-Stealer ստանդարտ բաղադրիչը, որը տեղական համակարգում որոնում է պահպանված գաղտնաբառերը, մուտքի բանալիները, կրիպտո դրամապանակները, նշանները, նիստի թխուկները և այլ գաղտնի տեղեկատվություն և ուղարկում գտնված ֆայլերը։ Discord-ի միջոցով:
Զանգը W4SP-Stealer-ին կատարվել է՝ «__import__» արտահայտությունը փոխարինելով setup.py կամ __init__.py ֆայլերում, որոնք առանձնացված էին մեծ թվով բացատներով՝ տեքստային խմբագրիչի տեսանելի տարածքից դուրս __import__-ին կանչելու համար: «__import__» բլոկը վերծանեց Base64 բլոկը և այն գրեց ժամանակավոր ֆայլում: Բլոկը պարունակում էր W4SP Stealer-ը համակարգում ներբեռնելու և տեղադրելու սցենար: «__import__» արտահայտության փոխարեն որոշ փաթեթների վնասակար բլոկը տեղադրվեց՝ տեղադրելով լրացուցիչ փաթեթ՝ օգտագործելով «pip install» կանչը setup.py սկրիպտից:
Հայտնաբերվել են վնասակար փաթեթներ, որոնք կեղծում են կրիպտո դրամապանակի համարները.
- baeutifulsoup4
- beautifulsup4
- կլորամա
- կրիպտոգրաֆիա
- կրիպտոգրաֆիա
- djangoo
- բարև-աշխարհ-օրինակ
- բարև-աշխարհ-օրինակ
- ipyhton
- փոստի վավերացնող
- mysql-connector-pyhton
- նոթատետր
- պյաութոգիու
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-flask
- pyyalm
- rqeuests
- սլենիում
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Հայտնաբերվել են վնասակար փաթեթներ, որոնք ուղարկում են համակարգից զգայուն տվյալներ.
- տեսակները
- տպագրություն
- sutiltype
- դուոնետ
- fatnoob
- ստրինֆեր
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- ՀՏՀ
- colorwin
- հարցումներ-httpx
- colorama
- շասիգմա
- լար
- Ֆելպեսվիադինյո
- նոճի
- pystyte
- pyslyte
- pystyle
- pyurllib
- ալգորիթմական
- այո
- իաո
- curlapi
- տեսակ-գույն
- pyhints
Source: opennet.ru