In de PyPI-catalogus (Python Package Index) zijn 26 kwaadaardige pakketten geïdentificeerd die versluierde code bevatten in het setup.py-script, dat de aanwezigheid van crypto-wallet-ID's op het klembord vaststelt en deze wijzigt in de portemonnee van de aanvaller (aangenomen wordt dat bij het maken van een betaling, zal het slachtoffer niet merken dat het geld dat via het portemonnee-nummer van het klembord wordt overgemaakt, anders is).
De vervanging wordt uitgevoerd door een JavaScript-script dat, na installatie van het kwaadaardige pakket, in de browser wordt ingebed in de vorm van een browser-add-on, die wordt uitgevoerd in de context van elke bekeken webpagina. Het installatieproces van de add-on is specifiek voor het Windows-platform en is geïmplementeerd voor Chrome-, Edge- en Brave-browsers. Ondersteunt vervanging van portemonnees voor ETH-, BTC-, BNB-, LTC- en TRX-cryptocurrencies.
Schadelijke pakketten worden in de PyPI-directory vermomd als sommige populaire bibliotheken die gebruikmaken van typesquatting (het toekennen van vergelijkbare namen die verschillen in individuele tekens, bijvoorbeeld example in plaats van example, djangoo in plaats van django, pyhton in plaats van python, enz.). Omdat de gemaakte klonen legitieme bibliotheken volledig repliceren en alleen verschillen in een kwaadaardige invoeging, vertrouwen aanvallers op onoplettende gebruikers die een typefout hebben gemaakt en het verschil in de naam niet hebben opgemerkt tijdens het zoeken. Rekening houdend met de populariteit van de oorspronkelijke legitieme bibliotheken (het aantal downloads overschrijdt 21 miljoen exemplaren per dag), welke kwaadaardige klonen zo zijn vermomd, is de kans om een slachtoffer te vangen vrij groot; bijvoorbeeld een uur na de publicatie van de eerste kwaadaardige pakket, het werd meer dan 100 keer gedownload.
Het is opmerkelijk dat dezelfde groep onderzoekers een week geleden dertig andere kwaadaardige pakketten in PyPI identificeerde, waarvan sommige ook vermomd waren als populaire bibliotheken. Tijdens de aanval, die ongeveer twee weken duurde, werden kwaadaardige pakketten 30 keer gedownload. In plaats van een script om crypto-wallets in deze pakketten te vervangen, werd de standaardcomponent W5700SP-Stealer gebruikt, die het lokale systeem doorzoekt naar opgeslagen wachtwoorden, toegangssleutels, crypto-wallets, tokens, sessiecookies en andere vertrouwelijke informatie, en de gevonden bestanden verzendt. via onenigheid.
De aanroep naar W4SP-Stealer werd gedaan door de uitdrukking "__import__" te vervangen in de setup.py- of __init__.py-bestanden, die werden gescheiden door een groot aantal spaties om de aanroep naar __import__ buiten het zichtbare gebied in de teksteditor te plaatsen. Het blok "__import__" decodeerde het Base64-blok en schreef het naar een tijdelijk bestand. Het blok bevatte een script voor het downloaden en installeren van W4SP Stealer op het systeem. In plaats van de expressie “__import__” werd de kwaadaardige blokkering in sommige pakketten geïnstalleerd door een extra pakket te installeren met behulp van de “pip install”-aanroep van het setup.py-script.
Geïdentificeerde kwaadaardige pakketten die crypto-portemonneenummers vervalsen:
- heerlijke soep4
- prachtigup4
- cloorama
- cryptografie
- cryptografie
- djangoo
- hallo-wereld-voorbeeld
- hallo-wereld-voorbeeld
- ipyhton
- mail-validator
- mysql-connector-pyhton
- notitieboek
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-kolf
- python3-kolf
- pyyalm
- vragen
- slenium
- sqlachie
- sqlalcemy
- tkniter
- urllib
Geïdentificeerde kwaadaardige pakketten die gevoelige gegevens vanaf het systeem verzenden:
- typenutil
- typereeks
- sutiltype
- duonet
- dikke noob
- strinfer
- pydprotect
- incrivelsim
- twijn
- pyptekst
- installatie
- veelgestelde vragen
- kleurwin
- verzoeken-httpx
- kleurenama
- shaasigma
- scherpt
- felpesviadinho
- cypres
- pystyt
- pysliet
- pystijl
- Pyurllib
- algoritmische
- ol
- Hallo
- krullen
- type-kleur
- pyhinten
Bron: opennet.ru