W katalogu PyPI (Python Package Index) zidentyfikowano 26 szkodliwych pakietów zawierających zaciemniony kod w skrypcie setup.py, który sprawdza obecność identyfikatorów portfeli kryptowalut w schowku i zamienia je na portfel atakującego (zakłada się, że przy wykonywaniu płatności, ofiara nie zauważy, że pieniądze przesłane przez numer portfela wymiany schowka są inne).
Podstawienie odbywa się za pomocą skryptu JavaScript, który po zainstalowaniu szkodliwego pakietu jest osadzany w przeglądarce w postaci dodatku do przeglądarki, który jest wykonywany w kontekście każdej przeglądanej strony internetowej. Proces instalacji dodatku jest specyficzny dla platformy Windows i jest realizowany dla przeglądarek Chrome, Edge i Brave. Obsługuje wymianę portfeli dla kryptowalut ETH, BTC, BNB, LTC i TRX.
Złośliwe pakiety ukrywają się w katalogu PyPI pod postacią niektórych popularnych bibliotek korzystających z typequattingu (przypisywania podobnych nazw różniących się poszczególnymi znakami, na przykład examplepl zamiast example, djangoo zamiast django, pyhton zamiast python itp.). Ponieważ utworzone klony całkowicie replikują legalne biblioteki, różniąc się jedynie złośliwym wstawieniem, napastnicy polegają na nieuważnych użytkownikach, którzy popełnili literówkę i nie zauważyli różnicy w nazwie podczas wyszukiwania. Biorąc pod uwagę popularność oryginalnych, legalnych bibliotek (liczba pobrań przekracza 21 milionów kopii dziennie), pod którymi ukrywają się złośliwe klony, prawdopodobieństwo złapania ofiary jest dość wysokie; na przykład godzinę po opublikowaniu pierwszy szkodliwy pakiet został pobrany ponad 100 razy.
Warto zauważyć, że tydzień temu ta sama grupa badaczy zidentyfikowała 30 innych szkodliwych pakietów w PyPI, a niektóre z nich również udawały popularne biblioteki. Podczas ataku, który trwał około dwóch tygodni, szkodliwe pakiety zostały pobrane 5700 razy. Zamiast skryptu zastępującego portfele kryptowalutowe w tych pakietach wykorzystano standardowy komponent W4SP-Stealer, który przeszukuje lokalny system w poszukiwaniu zapisanych haseł, kluczy dostępu, portfeli kryptowalutowych, tokenów, sesyjnych Cookies i innych poufnych informacji i wysyła znalezione pliki za pośrednictwem Discorda.
Wywołanie W4SP-Stealer przeprowadzono poprzez podstawienie wyrażenia „__import__” do plików setup.py lub __init__.py, które oddzielono dużą liczbą spacji, aby wywołać funkcję __import__ poza widocznym obszarem w edytorze tekstu. Blok „__import__” zdekodował blok Base64 i zapisał go w pliku tymczasowym. Blok zawierał skrypt umożliwiający pobranie i zainstalowanie w systemie W4SP Stealer. Zamiast wyrażenia „__import__” szkodliwy blok w niektórych pakietach został zainstalowany poprzez zainstalowanie dodatkowego pakietu przy użyciu wywołania „pip install” ze skryptu setup.py.
Zidentyfikowane szkodliwe pakiety fałszujące numery portfeli kryptowalutowych:
- piękna zupa4
- pięknysup4
- cloorama
- kryptografia
- kryptografia
- djangoo
- przykład-witaj-świecie
- przykład-witaj-świecie
- ipyhton
- walidator poczty
- złącze mysql-pyhton
- notatnik
- pyautogiu
- pigem
- pythorhc
- python-dateuti
- kolba Pythona
- kolba Pythona3
- pyjalm
- próśb
- slen
- sqlachemia
- sqlalcemy
- tkniter
- urllib
Zidentyfikowane szkodliwe pakiety wysyłające wrażliwe dane z systemu:
- typeutil
- ciąg znaków
- Typ sutil
- duonet
- grubasie
- ściągacz
- pydprotect
- inkryminacyjne
- tyne
- pyptekst
- zainstaluj
- faq
- kolorowanie
- żądania-httpx
- koloryama
- Shaasigma
- napina
- felpesviadinho
- cyprys
- pystyt
- pyslit
- pystyl
- pyurllib
- algorytmiczny
- oj
- dzień dobry
- Curlapi
- typ-kolor
- wskazówki
Źródło: opennet.ru