Dalam katalog PyPI (Python Package Index), 26 paket berbahaya diidentifikasi berisi kode yang dikaburkan dalam skrip setup.py, yang menentukan keberadaan pengidentifikasi dompet kripto di clipboard dan mengubahnya ke dompet penyerang (diasumsikan bahwa ketika membuat pembayaran, korban tidak akan menyadari bahwa uang yang ditransfer melalui nomor dompet pertukaran clipboard berbeda).
Substitusi dilakukan dengan skrip JavaScript, yang setelah menginstal paket berbahaya, tertanam di browser dalam bentuk add-on browser, yang dijalankan dalam konteks setiap halaman web yang dilihat. Proses instalasi add-on khusus untuk platform Windows dan diterapkan untuk browser Chrome, Edge, dan Brave. Mendukung penggantian dompet untuk cryptocurrency ETH, BTC, BNB, LTC dan TRX.
Paket berbahaya disamarkan dalam direktori PyPI sebagai beberapa perpustakaan populer menggunakan typequatting (menetapkan nama serupa yang berbeda dalam karakter individu, misalnya, examplel bukan example, djangoo bukan django, pyhton bukan python, dll.). Karena klon yang dibuat sepenuhnya mereplikasi perpustakaan yang sah, hanya berbeda dalam penyisipan berbahaya, penyerang mengandalkan pengguna yang lalai yang salah ketik dan tidak melihat perbedaan nama saat mencari. Mempertimbangkan popularitas perpustakaan asli yang sah (jumlah unduhan melebihi 21 juta salinan per hari), yang merupakan klon berbahaya yang disamarkan, kemungkinan untuk menangkap korban cukup tinggi; misalnya, satu jam setelah publikasi perpustakaan tersebut paket berbahaya pertama, diunduh lebih dari 100 kali.
Patut dicatat bahwa seminggu yang lalu kelompok peneliti yang sama mengidentifikasi 30 paket berbahaya lainnya di PyPI, beberapa di antaranya juga menyamar sebagai perpustakaan populer. Selama serangan yang berlangsung sekitar dua minggu, paket berbahaya diunduh sebanyak 5700 kali. Alih-alih skrip untuk menggantikan dompet kripto dalam paket ini, komponen standar W4SP-Stealer digunakan, yang mencari sistem lokal untuk kata sandi yang disimpan, kunci akses, dompet kripto, token, Cookie sesi, dan informasi rahasia lainnya, dan mengirimkan file yang ditemukan melalui Perselisihan.
Panggilan ke W4SP-Stealer dilakukan dengan mengganti ekspresi "__import__" ke dalam file setup.py atau __init__.py, yang dipisahkan oleh banyak spasi untuk melakukan panggilan ke __import__ di luar area yang terlihat di editor teks. Blok "__import__" mendekode blok Base64 dan menulisnya ke file sementara. Blok tersebut berisi skrip untuk mengunduh dan menginstal W4SP Stealer pada sistem. Alih-alih ekspresi β__import__β, blok berbahaya di beberapa paket diinstal dengan menginstal paket tambahan menggunakan panggilan βpip installβ dari skrip setup.py.
Paket berbahaya yang teridentifikasi yang memalsukan nomor dompet kripto:
- sup yang indah4
- sup indah4
- cloorama
- kriptografi
- krpytografi
- Djangoo
- halo-dunia-contoh
- halo-dunia-contoh
- ipyhton
- validator surat
- mysql-konektor-pyhton
- buku catatan
- pyautogiu
- pygaem
- python
- python-dateuti
- labu python
- labu python3
- piyalm
- permintaan
- slenium
- sqlachemy
- sqalcemy.dll
- tkniter
- urllib
Paket berbahaya yang teridentifikasi mengirimkan data sensitif dari sistem:
- typeutil
- mengetik
- tipe sutil
- duonet
- orang gemuk
- strinfer
- pydprotect
- incrivelsim
- dua puluh
- pypteks
- installpy
- faq
- warna menang
- permintaan-httpx
- colorsama
- shaasigma
- mengencangkan
- Felpesviadinho
- cypress
- pistyte
- pyslyte
- gaya.pystyle
- pyurllib
- algoritmik
- ooh
- selamat tinggal
- curlapi
- tipe-warna
- petunjuk
Sumber: opennet.ru