Katika orodha ya PyPI (Python Package Index), vifurushi 26 hasidi vilitambuliwa vyenye msimbo uliofichwa kwenye hati ya setup.py, ambayo huamua uwepo wa vitambulisho vya pochi ya crypto kwenye ubao wa kunakili na kuzibadilisha kuwa mkoba wa mshambuliaji (inachukuliwa kuwa wakati wa kutengeneza. malipo, mwathirika hatagundua kuwa pesa zilizohamishwa kupitia nambari ya mkoba ya kubadilishana clipboard ni tofauti).
Uingizaji huo unafanywa na hati ya JavaScript, ambayo, baada ya kufunga kifurushi kibaya, imeingizwa kwenye kivinjari kwa namna ya nyongeza ya kivinjari, ambayo inatekelezwa katika muktadha wa kila ukurasa wa wavuti unaotazamwa. Mchakato wa usakinishaji wa nyongeza ni maalum kwa jukwaa la Windows na unatekelezwa kwa vivinjari vya Chrome, Edge na Brave. Inaauni uingizwaji wa pochi za ETH, BTC, BNB, LTC na TRX cryptocurrencies.
Vifurushi hasidi hufichwa katika saraka ya PyPI kama maktaba zingine maarufu zinazotumia typequatting (kukabidhi majina sawa ambayo yanatofautiana katika herufi binafsi, kwa mfano, examplepl badala ya mfano, djangoo badala ya django, pyhton badala ya chatu, n.k.). Kwa kuwa clones zilizoundwa huiga kabisa maktaba halali, zikitofautiana tu katika uwekaji hasidi, wavamizi hutegemea watumiaji wasio makini ambao walifanya makosa ya kuchapa na hawakuona tofauti katika jina wakati wa kutafuta. Kwa kuzingatia umaarufu wa maktaba halali za asili (idadi ya vipakuliwa inazidi nakala milioni 21 kwa siku), ambayo clones hasidi hufichwa kama, uwezekano wa kukamata mwathirika ni mkubwa sana; kwa mfano, saa moja baada ya kuchapishwa kwa nakala rudufu. kifurushi cha kwanza hasidi, kilipakuliwa zaidi ya mara 100.
Ni muhimu kukumbuka kuwa wiki moja iliyopita kundi hilo hilo la watafiti liligundua vifurushi vingine 30 vibaya katika PyPI, ambavyo vingine pia vilifichwa kama maktaba maarufu. Wakati wa shambulio hilo, ambalo lilidumu kwa takriban wiki mbili, vifurushi vibaya vilipakuliwa mara 5700. Badala ya hati ya kuchukua nafasi ya pochi za crypto kwenye vifurushi hivi, sehemu ya kawaida W4SP-Stealer ilitumiwa, ambayo hutafuta mfumo wa ndani kwa nywila zilizohifadhiwa, funguo za ufikiaji, pochi za crypto, tokeni, Vidakuzi vya kikao na habari zingine za siri, na kutuma faili zilizopatikana. kupitia Discord.
Simu kwa W4SP-Stealer ilifanywa kwa kubadilisha usemi "__import__" kwenye setup.py au __init__.py faili, ambazo zilitenganishwa na idadi kubwa ya nafasi ili kupiga simu ya __import__ nje ya eneo linaloonekana kwenye kihariri cha maandishi. Kizuizi cha "__import__" kilisimbua kizuizi cha Base64 na kukiandika kwa faili ya muda. Kizuizi kilikuwa na hati ya kupakua na kusakinisha W4SP Stealer kwenye mfumo. Badala ya usemi wa "__import__", kizuizi hasidi katika baadhi ya vifurushi kilisakinishwa kwa kusakinisha kifurushi cha ziada kwa kutumia simu ya "pip install" kutoka kwa hati ya setup.py.
Vifurushi hasidi vilivyotambuliwa ambavyo vinaharibu nambari za pochi ya crypto:
- supu ya baeutiful4
- beautifulsup4
- cloorama
- kriptografia
- kriptografia
- djangoo
- habari-ulimwengu-mfano
- habari-ulimwengu-mfano
- ipyhton
- barua-kithibitishaji
- mysql-kontakt-pyhton
- daftari
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- chupa ya chatu
- python3-flask
- pyyalm
- rqeuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Vifurushi hasidi vilivyotambuliwa vinavyotuma data nyeti kutoka kwa mfumo:
- typeutil
- aina ya kamba
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twine
- maandishi
- installpy
- faq
- colorwin
- maombi-httpx
- colorsama
- shaasigma
- kamba
- felpesviadinho
- Cypress
- pystyte
- pyslyte
- pystyle
- pyurllib
- algorithmic
- ooh
- sawa
- curlapi
- aina-rangi
- pyhints
Chanzo: opennet.ru