Dalam katalog PyPI (Python Package Index), 26 pakej berniat jahat telah dikenal pasti mengandungi kod yang dikelirukan dalam skrip setup.py, yang menentukan kehadiran pengecam dompet crypto dalam papan keratan dan menukarnya kepada dompet penyerang (diandaikan bahawa apabila membuat pembayaran, mangsa tidak akan menyedari bahawa wang yang dipindahkan melalui papan keratan nombor dompet pertukaran adalah berbeza).
Penggantian dilakukan oleh skrip JavaScript, yang, selepas memasang pakej berniat jahat, dibenamkan dalam penyemak imbas dalam bentuk alat tambah penyemak imbas, yang dilaksanakan dalam konteks setiap halaman web yang dilihat. Proses pemasangan tambahan adalah khusus untuk platform Windows dan dilaksanakan untuk pelayar Chrome, Edge dan Brave. Menyokong penggantian dompet untuk mata wang kripto ETH, BTC, BNB, LTC dan TRX.
Pakej berniat jahat menyamar dalam direktori PyPI sebagai beberapa perpustakaan popular menggunakan typequatting (menetapkan nama serupa yang berbeza dalam aksara individu, contohnya, contohnya, bukan contoh, djangoo bukannya django, pyhton dan bukannya python, dll.). Memandangkan klon yang dicipta sepenuhnya meniru pustaka yang sah, hanya berbeza dalam sisipan yang berniat jahat, penyerang bergantung pada pengguna lalai yang membuat kesilapan menaip dan tidak menyedari perbezaan nama semasa mencari. Dengan mengambil kira populariti perpustakaan asal yang sah (bilangan muat turun melebihi 21 juta salinan setiap hari), yang mana klon berniat jahat menyamar, kebarangkalian untuk menangkap mangsa adalah agak tinggi; contohnya, sejam selepas penerbitan pakej berniat jahat pertama, ia telah dimuat turun lebih daripada 100 kali.
Perlu diperhatikan bahawa seminggu yang lalu kumpulan penyelidik yang sama mengenal pasti 30 pakej berniat jahat lain dalam PyPI, beberapa daripadanya juga menyamar sebagai perpustakaan popular. Semasa serangan itu, yang berlangsung kira-kira dua minggu, pakej berniat jahat telah dimuat turun sebanyak 5700 kali. Daripada skrip untuk menggantikan dompet crypto dalam pakej ini, komponen standard W4SP-Stealer digunakan, yang mencari sistem tempatan untuk kata laluan yang disimpan, kunci akses, dompet crypto, token, Kuki sesi dan maklumat sulit lain, dan menghantar fail yang ditemui melalui Discord.
Panggilan ke W4SP-Stealer dilakukan dengan menggantikan ungkapan "__import__" ke dalam fail setup.py atau __init__.py, yang dipisahkan oleh sebilangan besar ruang untuk membuat panggilan ke __import__ di luar kawasan yang boleh dilihat dalam editor teks. Blok "__import__" menyahkod blok Base64 dan menulisnya ke fail sementara. Blok itu mengandungi skrip untuk memuat turun dan memasang W4SP Stealer pada sistem. Daripada ungkapan "__import__", kemasukan blok berniat jahat dalam beberapa pakej telah dijalankan melalui pemasangan pakej tambahan menggunakan panggilan "pemasangan pip" daripada skrip setup.py.
Pakej berniat jahat yang dikenal pasti yang memalsukan nombor dompet crypto:
- baeutifulsoup4
- beautifulsup4
- kloorama
- cryptographyh
- crpytography
- djangoo
- hello-world-contoh
- hello-world-contoh
- ipyhton
- pengesah mel
- mysql-connector-pyhton
- buku nota
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- kelalang ular sawa
- python3-flask
- pyyalm
- rqeuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Pakej berniat jahat yang dikenal pasti menghantar data sensitif daripada sistem:
- typesutil
- tali taip
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- faq
- colorwin
- permintaan-httpx
- colorsama
- shaasigma
- tali
- felpesviadinho
- Cypress
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritma
- ooh
- okey
- curlapi
- jenis-warna
- pyhints
Sumber: opennet.ru