I PyPI-katalogen (Python Package Index) identifierades 26 skadliga paket som innehöll obfuskerad kod i setup.py-skriptet, som bestämmer förekomsten av kryptoplånboksidentifierare i urklippet och ändrar dem till angriparens plånbok (det antas att när man gör en betalning kommer offret inte att märka att pengarna som överförs via urklippsväxlingsplånboksnumret är annorlunda).
Ersättningen utförs av ett JavaScript-skript, som efter installation av det skadliga paketet bäddas in i webbläsaren i form av ett webbläsartillägg, som exekveras i sammanhanget för varje webbsida som visas. Tilläggsinstallationsprocessen är specifik för Windows-plattformen och implementeras för webbläsarna Chrome, Edge och Brave. Stöder ersättning av plånböcker för ETH, BTC, BNB, LTC och TRX kryptovalutor.
Skadliga paket är förklädda i PyPI-katalogen som några populära bibliotek som använder typesquatting (tilldelar liknande namn som skiljer sig åt i individuella tecken, till exempel exampl istället för exempelvis djangoo istället för django, pyhton istället för python, etc.). Eftersom de skapade klonerna helt replikerar legitima bibliotek, endast skiljer sig åt i en skadlig infogning, litar angripare på ouppmärksamma användare som gjorde ett stavfel och inte märkte skillnaden i namnet när de sökte. Med hänsyn till populariteten för de ursprungliga legitima biblioteken (antalet nedladdningar överstiger 21 miljoner kopior per dag), som skadliga kloner är förklädda till, är sannolikheten att fånga ett offer ganska hög; till exempel en timme efter publiceringen av första skadliga paketet, det laddades ner mer än 100 gånger.
Det är anmärkningsvärt att för en vecka sedan identifierade samma grupp forskare 30 andra skadliga paket i PyPI, av vilka några också var förklädda till populära bibliotek. Under attacken, som varade i cirka två veckor, laddades skadliga paket ner 5700 4 gånger. Istället för ett skript för att ersätta kryptoplånböcker i dessa paket användes standardkomponenten WXNUMXSP-Stealer, som söker igenom det lokala systemet efter sparade lösenord, åtkomstnycklar, kryptoplånböcker, tokens, sessionscookies och annan konfidentiell information, och skickar de hittade filerna. via Discord.
Anropet till W4SP-Stealer gjordes genom att ersätta uttrycket "__import__" i filerna setup.py eller __init__.py, som var åtskilda av ett stort antal mellanslag för att göra anropet till __import__ utanför det synliga området i textredigeraren. Blocket "__import__" avkodade Base64-blocket och skrev det till en temporär fil. Blocket innehöll ett skript för att ladda ner och installera W4SP Stealer på systemet. Istället för uttrycket "__import__" installerades det skadliga blocket i vissa paket genom att installera ett extra paket med anropet "pip install" från setup.py-skriptet.
Identifierade skadliga paket som förfalskar kryptoplånboksnummer:
- baeutiful soup4
- vacker sup4
- cloorama
- kryptografi
- kryptografi
- djangoo
- hej-världen-exempel
- hej-världen-exempel
- ipyhton
- e-postvalidator
- mysql-connector-pyhton
- anteckningsbok
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-kolv
- python3-kolv
- pyyalm
- efterfrågan
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Identifierade skadliga paket som skickar känslig data från systemet:
- typsutil
- typsträng
- sutiltyp
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- faq
- colorwin
- förfrågningar-httpx
- colorsama
- shaasigma
- drar åt
- felpesviadinho
- cypress
- pystyte
- pyslyte
- pystyle
- pyurllib
- algoritmisk
- ol
- ok
- curlapi
- typ-färg
- pyhinter
Källa: opennet.ru