Fil-katalgu PyPI (Python Package Index), ġew identifikati 26 pakkett malizzjuż li fihom kodiċi offuskat fl-iskrittura setup.py, li jiddetermina l-preżenza ta 'identifikaturi tal-kartiera kripto fil-clipboard u jibdilhom għall-kartiera tal-attakkant (huwa preżunt li meta tagħmel ħlas, il-vittma mhux se tinnota li l-flus trasferiti permezz tan-numru tal-kartiera tal-iskambju tal-klippboard huma differenti).
Is-sostituzzjoni titwettaq permezz ta 'skript JavaScript, li, wara l-installazzjoni tal-pakkett malizzjuż, huwa inkorporat fil-brawżer fil-forma ta' add-on tal-browser, li jiġi eżegwit fil-kuntest ta 'kull paġna web li wieġeb. Il-proċess ta 'installazzjoni add-on huwa speċifiku għall-pjattaforma tal-Windows u huwa implimentat għall-browsers Chrome, Edge u Brave. Jappoġġja s-sostituzzjoni ta 'kartieri għal kripto-muniti ETH, BTC, BNB, LTC u TRX.
Pakketti malizzjużi huma moħbija fid-direttorju PyPI bħala xi libreriji popolari li jużaw typesquatting (jassenjaw ismijiet simili li jvarjaw f'karattri individwali, pereżempju, exampl minflok eżempju, djangoo minflok django, pyhton minflok python, eċċ.). Peress li l-kloni maħluqa jirreplikaw kompletament libreriji leġittimi, li jvarjaw biss f'inserzjoni malizzjuża, l-attakkanti jiddependu fuq utenti mhux attenti li għamlu typo u ma ndunawx id-differenza fl-isem meta jfittxu. B'kont meħud tal-popolarità tal-libreriji leġittimi oriġinali (in-numru ta 'tniżżil jaqbeż il-21 miljun kopja kuljum), liema kloni malizzjużi huma moħbija bħala, il-probabbiltà li tinqabad vittma hija pjuttost għolja; pereżempju, siegħa wara l-pubblikazzjoni tal- l-ewwel pakkett malizzjuż, ġie mniżżel aktar minn 100 darba.
Ta’ min jinnota li ġimgħa ilu l-istess grupp ta’ riċerkaturi identifika 30 pakkett malizzjuż ieħor f’PyPI, li wħud minnhom kienu wkoll moħbija bħala libreriji popolari. Matul l-attakk, li dam madwar ġimagħtejn, pakketti malizzjużi tniżżlu 5700 darba. Minflok skript biex jissostitwixxi l-kartieri kripto f'dawn il-pakketti, intuża l-komponent standard W4SP-Stealer, li jfittex fis-sistema lokali għal passwords salvati, ċwievet ta 'aċċess, kartieri kripto, tokens, Cookies tas-sessjoni u informazzjoni kunfidenzjali oħra, u jibgħat il-fajls misjuba. permezz ta’ Discord.
Is-sejħa lil W4SP-Stealer saret billi ssostitwixxa l-espressjoni "__import__" fil-fajls setup.py jew __init__.py, li kienet separata b'numru kbir ta 'spazji biex issir is-sejħa għal __import__ barra ż-żona viżibbli fl-editur tat-test. Il-blokk "__import__" iddekodifikat il-blokka Base64 u kitbitha f'fajl temporanju. Il-blokk kien fih skript għat-tniżżil u l-installazzjoni ta 'W4SP Stealer fuq is-sistema. Minflok l-espressjoni "__import__", il-blokk malizzjuż f'xi pakketti ġie installat billi ġie installat pakkett addizzjonali bl-użu tas-sejħa "pip install" mill-iskrittura setup.py.
Identifikaw pakketti malizzjużi li jwaħħlu n-numri tal-kartiera kripto:
- baeutifulsoup4
- beautifulsup4
- cloorama
- kriptografija
- kriptografija
- djangoo
- hello-dinja-eżempju
- hello-dinja-eżempju
- ipyhton
- validatur tal-posta
- mysql-connector-pyhton
- notebok
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-flask
- pyyalm
- rqeuests
- is-slenju
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Pakketti malizzjużi identifikati li jibagħtu data sensittiva mis-sistema:
- typesutil
- typestring
- sutiltype
- dunet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptest
- installpy
- faq
- colorwin
- talbiet-httpx
- colorsama
- shaasigma
- spag
- felpesviadinho
- Ċipru
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritmiku
- oiu
- kollox sew
- curlapi
- tip-kulur
- pyhints
Sors: opennet.ru