PyPI (Python багцын индекс) каталогоос санах ойд крипто түрийвчний таниулбар байгаа эсэхийг тодорхойлж, халдагчийн түрийвч рүү өөрчилдөг setup.py скрипт дэх нууцлагдмал код агуулсан 26 хортой багц олдсон (төлбөр хийх үед гэж үздэг. , хохирогч санах ойн санах ойн солилцооны түрийвчний дугаараар дамжуулан шилжүүлсэн нь өөр байна).
Орлуулалтыг JavaScript скриптээр гүйцэтгэдэг бөгөөд хортой багцыг суулгасны дараа үзсэн вэб хуудас бүрийн контекст дээр хөтчийн нэмэлт хэлбэрээр хөтчид суулгагдсан байдаг. Нэмэлт суулгах процесс нь Windows платформтой холбоотой бөгөөд Chrome, Edge, Brave хөтчүүдэд хэрэгждэг. ETH, BTC, BNB, LTC, TRX зэрэг криптовалютын түрийвчийг орлуулахыг дэмждэг.
Хортой багцуудыг PyPI лавлах санд typequatting (хувийн тэмдэгтээр ялгаатай ижил төстэй нэр өгөх, жишээ нь: django-ийн оронд djangoo, python-ын оронд pyhton гэх мэт) ашиглан зарим алдартай номын сан хэлбэрээр далдалсан байдаг. Үүсгэсэн клонууд нь зөвхөн хорлонтой оруулгаар ялгаатай хууль ёсны сангуудыг бүрэн давтдаг тул халдагчид хайлт хийхдээ үсгийн алдаа гаргасан хайхрамжгүй хэрэглэгчдэд найдаж, нэрний ялгааг анзаардаггүй. Хортой клон гэж далдлагдсан анхны хууль ёсны номын сангуудын (татаж авах тоо өдөрт 21 сая хувь давсан) түгээмэл байдгийг харгалзан үзвэл хохирогчийг барих магадлал нэлээд өндөр байна, жишээлбэл, нийтлэл хэвлэгдсэнээс хойш нэг цагийн дараа. Эхний хортой багцыг 100 гаруй удаа татаж авсан.
Долоо хоногийн өмнө ижилхэн бүлэг судлаачид PyPI-д өөр 30 хортой багц илрүүлсэн нь анхаарал татаж байгаа бөгөөд тэдгээрийн зарим нь алдартай номын сангийн дүрд хувирсан байна. Хоёр долоо хоног орчим үргэлжилсэн халдлагын үеэр хорлонтой багцуудыг 5700 удаа татаж авсан байна. Эдгээр багц дахь крипто түрийвчийг солих скриптийн оронд ердийн W4SP-Stealer бүрэлдэхүүн хэсгийг ашигласан бөгөөд энэ нь хадгалсан нууц үг, хандалтын түлхүүр, крипто түрийвч, жетон, сесс күүки болон бусад нууц мэдээллийг хайж олох бөгөөд олсон файлуудыг илгээдэг. Discord-ээр дамжуулан.
W4SP-Stealer руу дуудлага хийхдээ олон тооны зайгаар тусгаарлагдсан setup.py эсвэл __init__.py файлын "__import__" хэллэгийг орлуулж, текстийн харагдах хэсгийн гадна талд __import__ дуудлага хийх боломжтой болсон. редактор. "__импорт__" блок дээр блокийг Base64 форматаар тайлж түр зуурын файлд бичсэн. Уг блок нь W4SP Stealer-ийг систем дээр татаж аваад суулгах скриптийг агуулж байсан. "__import__" илэрхийллийн оронд setup.py скриптээс "pip install" гэж дуудаж нэмэлт багц суулгаж зарим багцад хортой блок холбогдсон байна.
Крипто түрийвчний дугаарыг орлох хортой багцуудыг тодорхойлсон:
- сайхан шөл4
- сайхан суп4
- клорама
- криптограф
- скрипт бичих
- Жангоо
- Сайн байна уу дэлхийн жишээ
- Сайн байна уу дэлхийн жишээ
- ipyhton
- шуудан баталгаажуулагч
- mysql-холбогч-pyhton
- тэмдэглэлийн хайрцаг
- пяутогиу
- pygaem
- pytorhc
- python-dateuti
- питон колбо
- питон3-колбо
- пиялм
- хүсэлтүүд
- слениум
- sqlachemy
- sqlalcemy
- сүлжмэл
- urlllib
Системээс нууц мэдээлэл илгээдэг хортой багцуудыг тодорхойлсон:
- typesutil
- typestring
- хувцасны төрөл
- Duonet
- fatnoob
- стринфер
- pydprotect
- incrivelsim
- утас
- пипттекст
- суулгах
- Тусламж
- өнгөтвин
- хүсэлт-httpx
- Colorama
- шаасигма
- утас
- felpesviadinho
- кипсэр
- пистиль
- pyslyte
- пистиль
- пирурллиб
- алгоритм
- өө
- болж байна уу
- curlapi
- төрөл-өнгө
- пиинтүүд
Эх сурвалж: opennet.ru