PyPI (Python Package Index) kataloge buvo nustatyti 26 kenkėjiški paketai, kuriuose yra užmaskuotas kodas setup.py scenarijuje, kuris nustato kriptovaliutų piniginės identifikatorių buvimą iškarpinėje ir pakeičia juos į užpuoliko piniginę (manoma, kad darant mokėjimą, nukentėjusysis nepastebės, kad per mainų sritį pervestų pinigų piniginės numeris skiriasi).
Pakeitimą atlieka JavaScript scenarijus, kuris, įdiegus kenkėjišką paketą, įterpiamas į naršyklę naršyklės priedo pavidalu, kuris vykdomas kiekvieno peržiūrimo tinklalapio kontekste. Priedo diegimo procesas būdingas „Windows“ platformai ir yra įdiegtas „Chrome“, „Edge“ ir „Brave“ naršyklėse. Palaiko ETH, BTC, BNB, LTC ir TRX kriptovaliutų piniginių keitimą.
Kenkėjiški paketai PyPI kataloge užmaskuoti kaip kai kurios populiarios bibliotekos, naudojančios typequatting (priskiriant panašius pavadinimus, kurie skiriasi atskirais simboliais, pvz., exampl vietoj example, djangoo vietoj django, pyhton vietoj python ir pan.). Kadangi sukurti klonai visiškai atkartoja teisėtas bibliotekas, kurios skiriasi tik kenkėjišku įterpimu, užpuolikai pasikliauja nedėmesingais vartotojais, kurie padarė rašybos klaidą ir ieškodami nepastebėjo pavadinimo skirtumo. Atsižvelgiant į originalių teisėtų bibliotekų populiarumą (parsisiuntimų skaičius viršija 21 mln. kopijų per dieną), kuriomis užmaskuojami kenkėjiški klonai, tikimybė sugauti auką yra gana didelė, pavyzdžiui, praėjus valandai po pirmasis kenkėjiškas paketas, jis buvo atsisiųstas daugiau nei 100 kartų.
Pastebėtina, kad prieš savaitę ta pati tyrėjų grupė PyPI aptiko 30 kitų kenkėjiškų paketų, kai kurie iš jų taip pat buvo užmaskuoti kaip populiarios bibliotekos. Per apie dvi savaites trukusią ataką kenkėjiški paketai buvo atsisiųsti 5700 kartų. Vietoj scenarijaus, pakeičiančio šiuose paketuose esančias kriptovaliutų pinigines, buvo naudojamas standartinis komponentas W4SP-Stealer, kuris vietinėje sistemoje ieško išsaugotų slaptažodžių, prieigos raktų, kriptovaliutų piniginių, žetonų, sesijos slapukų ir kitos konfidencialios informacijos bei siunčia rastus failus. per Discord.
W4SP-Stealer iškvietimas buvo atliktas pakeitus išraišką „__import__“ į setup.py arba __init__.py failus, kurie buvo atskirti daugybe tarpų, kad būtų iškviesta __import__ už matomos teksto rengyklės srities. „__import__“ blokas iššifravo „Base64“ bloką ir įrašė jį į laikiną failą. Bloke buvo scenarijus, skirtas W4SP Stealer atsisiųsti ir įdiegti sistemoje. Vietoj išraiškos „__import__“ kenkėjiškas blokas kai kuriuose paketuose buvo įdiegtas įdiegiant papildomą paketą naudojant „pip install“ iškvietimą iš scenarijaus setup.py.
Identifikuoti kenkėjiški paketai, klaidinantys kriptovaliutų piniginės numerius:
- skani sriuba 4
- grazussup4
- kloorama
- kriptografija
- kriptografija
- djangoo
- labas-pasaulio-pavyzdys
- labas-pasaulio-pavyzdys
- ipyhton
- pašto patvirtinimo priemonė
- mysql-connector-pyhton
- užrašų knygelė
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python kolba
- python3 kolba
- pyyalm
- prašymų
- slenium
- sqlachemy
- sqlalcemy
- mezgėjas
- urllib
Identifikuoti kenkėjiški paketai, siunčiantys slaptus duomenis iš sistemos:
- typeutil
- spausdinimo eilutė
- sutiltipas
- duonetas
- fatnoob
- griežtas
- pydprotect
- incrivelsim
- twyne
- pyptext
- diegimo programa
- duk
- colorwin
- užklausos-httpx
- colorama
- shaasigma
- styga
- felpesviadinho
- kiparisas
- Pystyte
- pyslyte
- eile
- pyurllib
- algoritminė
- olo
- Gerai
- curlapi
- tipas-spalva
- pyhintų
Šaltinis: opennet.ru