Dina katalog PyPI (Python Package Index), 26 bungkusan jahat diidentifikasi ngandung kode obfuscated dina skrip setup.py, anu nangtukeun ayana identifier dompét crypto dina clipboard sareng robih kana dompét panyerang (dianggap yén nalika ngadamel pamayaran a, korban moal aya bewara yen duit ditransfer ngaliwatan jumlah dompet bursa clipboard béda).
Substitusi dilakukeun ku skrip JavaScript, anu, saatos masang pakét jahat, dipasang dina browser dina bentuk tambihan browser, anu dieksekusi dina konteks unggal halaman wéb anu ditingali. Prosés pamasangan tambihan khusus pikeun platform Windows sareng dilaksanakeun pikeun browser Chrome, Edge sareng Brave. Ngarojong ngagantian dompét pikeun cryptocurrencies ETH, BTC, BNB, LTC sareng TRX.
Bungkusan jahat disguised dina diréktori PyPI sakumaha sababaraha perpustakaan populér maké typesquatting (assigning ngaran sarupa anu béda dina karakter individu, contona, example tinimbang conto, djangoo tinimbang django, pyhton tinimbang python, jsb). Kusabab klon anu diciptakeun leres-leres ngayakeun réplikasi perpustakaan anu sah, ngan ukur bénten dina sisipan anu jahat, panyerang ngandelkeun pangguna anu teu merhatikeun anu ngalakukeun typo sareng henteu perhatikeun bédana nami nalika milarian. Nganggap popularitas perpustakaan asli anu sah (jumlah unduhan ngaleuwihan 21 juta éksemplar per dinten), anu klon jahat nyamar, kamungkinan nangkep korban rada luhur; contona, sajam saatos publikasi. pakét jahat munggaran, éta diunduh langkung ti 100 kali.
Éta noteworthy yén saminggu katukang grup sarua peneliti ngaidentipikasi 30 bungkusan jahat lianna di PyPI, sababaraha di antarana ogé nyamar salaku perpustakaan populér. Salila serangan, anu lumangsung kira-kira dua minggu, bungkusan jahat diundeur 5700 kali. Gantina skrip pikeun ngaganti dompét crypto dina bungkusan ieu, komponén baku W4SP-Stealer dipaké, nu maluruh sistem lokal pikeun kecap akses disimpen, konci aksés, dompét crypto, tokens, Cookies sesi sarta informasi rahasia lianna, sarta ngirimkeun file kapanggih. via Discord.
Nelepon ka W4SP-Stealer ieu dipigawé ku substituting ekspresi "__import__" kana file setup.py atanapi __init__.py, nu ieu dipisahkeun ku angka nu gede ngarupakeun spasi pikeun nelepon ka __import__ luar wewengkon katempo dina editor téks. Blok "__import__" nga-decode blok Base64 sareng nyerat kana file samentawis. Blok ngandung naskah pikeun ngundeur tur masang W4SP Stealer dina sistem. Gantina ekspresi "__import__", blok jahat dina sababaraha bungkusan dipasang ku masang pakét tambahan nganggo panggero "pip install" tina skrip setup.py.
Diidentipikasi bungkusan jahat anu nipu nomer dompét crypto:
- baeutifulsoup4
- geulissup4
- cloorama
- cryptographyh
- crpytography
- djangoo
- halo-dunya-conto
- halo-dunya-conto
- ipyhton
- mail-validator
- mysql-panyambung-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-kobu
- pyyalm
- rqeuests
- slenium
- sqlachemy
- sqlalcemy
- tukang ngaput
- urllib
Identipikasi bungkusan jahat anu ngirim data sénsitip tina sistem:
- typeutil
- senar ketik
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- duaan
- pyptext
- installpy
- FAQ
- colorwin
- pamundut-httpx
- kolorsama
- shaasigma
- senar
- felpesviadinho
- cikopi
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritma
- oiu
- Oké
- curlap
- tipe-warna
- pyhints
sumber: opennet.ru