Nel catalogo PyPI (Python Package Index) sono stati trovati 26 pacchetti dannosi contenenti codice offuscato nello script setup.py che determina la presenza di identificatori di crypto wallet negli appunti e li modifica nel wallet dell'aggressore (si presume che quando si effettua un pagamento , la vittima non noterà che il numero del portafoglio di scambio trasferito tramite gli appunti è diverso).
La sostituzione viene eseguita da uno script JavaScript che, dopo aver installato il pacchetto dannoso, viene incorporato nel browser sotto forma di componente aggiuntivo del browser che viene eseguito nel contesto di ciascuna pagina Web visualizzata. Il processo di installazione del componente aggiuntivo è legato alla piattaforma Windows ed è implementato per i browser Chrome, Edge e Brave. Supporta la sostituzione di portafogli per criptovalute ETH, BTC, BNB, LTC e TRX.
I pacchetti dannosi sono camuffati nella directory PyPI come alcune librerie popolari che usano il typequatting (assegnando nomi simili che differiscono nei singoli caratteri, ad esempio examplel invece di example, djangoo invece di django, pyhton invece di python, ecc.). Poiché i cloni creati ripetono completamente le librerie legittime, differendo solo per un inserto dannoso, gli aggressori contano su utenti disattenti che hanno commesso un errore di battitura e non hanno notato differenze nel nome durante la ricerca. Tenendo conto della popolarità delle librerie legittime originali (il numero di download supera i 21 milioni di copie al giorno), che sono camuffate da cloni dannosi, la probabilità di catturare una vittima è piuttosto alta, ad esempio un'ora dopo la pubblicazione del primo pacchetto dannoso, è stato scaricato più di 100 volte.
È interessante notare che una settimana fa, lo stesso gruppo di ricercatori ha identificato altri 30 pacchetti dannosi in PyPI, alcuni dei quali si sono anche camuffati da librerie popolari. Durante l'attacco, durato circa due settimane, i pacchetti dannosi sono stati scaricati 5700 volte. Invece di uno script per sostituire i portafogli crittografici in questi pacchetti, è stato utilizzato un tipico componente W4SP-Stealer, che cerca nel sistema locale password salvate, chiavi di accesso, portafogli crittografici, token, cookie di sessione e altre informazioni riservate e invia i file trovati tramite Discordia.
La chiamata a W4SP-Stealer è stata effettuata sostituendo l'istruzione "__import__" nei file setup.py o __init__.py, che era separata da un numero elevato di spazi, in modo da effettuare la chiamata __import__ al di fuori dell'area visibile nel testo editore. Nel blocco "__import__", il blocco è stato decodificato in formato Base64 e scritto in un file temporaneo. Il blocco conteneva uno script per scaricare e installare W4SP Stealer sul sistema. Invece dell'espressione "__import__", il blocco dannoso è stato collegato in alcuni pacchetti installando un pacchetto aggiuntivo chiamando "pip install" dallo script setup.py.
Pacchetti dannosi identificati che sostituiscono i numeri del portafoglio crittografico:
- bellazuppa4
- bellissimoup4
- cloorama
- cryptograph
- scripting
- djangoo
- ciao mondo esempio
- ciao mondo esempio
- ipyton
- validatore di posta
- mysql-connettore-pyhton
- notebox
- pyautogiu
- pigema
- pythorhc
- python-dateuti
- pallone di pitone
- python3-pallone
- pyalm
- richieste
- slenio
- sqlachemia
- sqlalcemy
- tknitter
- urllib
Pacchetti dannosi identificati che inviano dati sensibili dal sistema:
- typeutil
- stringa tipo
- sutitype
- duonet
- fatnoob
- stringere
- pydprotect
- incrivelsim
- spago
- pyptext
- installpy
- FAQ
- colorwin
- richieste-httpx
- colorima
- shaasigma
- stringa
- felpesviadinho
- cipresso
- pystyle
- pislite
- pistilo
- pyrurllib
- algoritmica
- olo
- io
- curlapi
- tipo-colore
- suggerimenti
Fonte: opennet.ru