V katalógu PyPI (Python Package Index) bolo identifikovaných 26 škodlivých balíkov obsahujúcich obfuskovaný kód v skripte setup.py, ktorý zisťuje prítomnosť identifikátorov kryptopeňaženky v schránke a mení ich na peňaženku útočníka (predpokladá sa, že pri vytváraní platba, obeť si nevšimne, že peniaze prevedené cez schránku s číslom peňaženky na výmenu sú iné).
Náhradu vykonáva JavaScript skript, ktorý sa po nainštalovaní škodlivého balíka vloží do prehliadača vo forme doplnku prehliadača, ktorý sa spustí v kontexte každej prezeranej webovej stránky. Proces inštalácie doplnku je špecifický pre platformu Windows a je implementovaný pre prehliadače Chrome, Edge a Brave. Podporuje výmenu peňaženiek za kryptomeny ETH, BTC, BNB, LTC a TRX.
Škodlivé balíčky sú v adresári PyPI maskované ako niektoré populárne knižnice pomocou typequattingu (priraďovanie podobných mien, ktoré sa líšia v jednotlivých znakoch, napr. examplepl namiesto example, djangoo namiesto django, pyhton namiesto python atď.). Keďže vytvorené klony úplne replikujú legitímne knižnice, líšia sa len zlomyseľným vložením, útočníci sa spoliehajú na nepozorných používateľov, ktorí urobili preklep a pri hľadaní si nevšimli rozdiel v názve. Ak vezmeme do úvahy popularitu pôvodných legitímnych knižníc (počet stiahnutí presahuje 21 miliónov kópií za deň), za ktoré sa škodlivé klony maskujú, pravdepodobnosť chytenia obete je pomerne vysoká, napríklad hodinu po zverejnení prvý škodlivý balík, bol stiahnutý viac ako 100-krát.
Je pozoruhodné, že pred týždňom rovnaká skupina výskumníkov identifikovala 30 ďalších škodlivých balíkov v PyPI, z ktorých niektoré boli tiež maskované ako populárne knižnice. Počas útoku, ktorý trval približne dva týždne, sa škodlivé balíčky stiahli 5700 4-krát. Namiesto skriptu, ktorý má nahradiť kryptopeňaženky v týchto balíkoch, bol použitý štandardný komponent WXNUMXSP-Stealer, ktorý v lokálnom systéme vyhľadá uložené heslá, prístupové kľúče, kryptopeňaženky, tokeny, súbory cookie relácie a ďalšie dôverné informácie a odošle nájdené súbory. cez Discord.
Volanie W4SP-Stealer sa uskutočnilo nahradením výrazu "__import__" do súborov setup.py alebo __init__.py, ktoré boli oddelené veľkým počtom medzier, aby sa volanie __import__ uskutočnilo mimo viditeľnej oblasti v textovom editore. Blok "__import__" dekódoval blok Base64 a zapísal ho do dočasného súboru. Blok obsahoval skript na stiahnutie a inštaláciu W4SP Stealer do systému. Namiesto výrazu „__import__“ bol škodlivý blok v niektorých balíkoch nainštalovaný inštaláciou ďalšieho balíka pomocou volania „pip install“ zo skriptu setup.py.
Identifikované škodlivé balíky, ktoré falšujú čísla krypto peňaženiek:
- krásna polievka 4
- krásnasup4
- cloorama
- kryptografia
- kryptografia
- djangoo
- ahoj-svet-príklad
- ahoj-svet-príklad
- ipyhton
- validátor pošty
- mysql-connector-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-flask
- pyyalm
- rqueuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identifikované škodlivé balíky odosielajúce citlivé údaje zo systému:
- Typeutil
- písací reťazec
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- Najčastejšie otázky
- colorwin
- žiadosti-httpx
- colorama
- shaasigma
- reťazec
- felpesviadinho
- cypriš
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritmické
- ol
- ok
- curlapi
- typ-farba
- pyhintovia
Zdroj: opennet.ru