PyPI (Python Package Index) பட்டியலில், setup.py ஸ்கிரிப்ட்டில் தெளிவற்ற குறியீட்டைக் கொண்ட 26 தீங்கிழைக்கும் தொகுப்புகள் அடையாளம் காணப்பட்டுள்ளன, இது கிளிப்போர்டில் கிரிப்டோ வாலட் அடையாளங்காட்டிகள் இருப்பதைத் தீர்மானிக்கிறது மற்றும் அவற்றை தாக்குபவர்களின் பணப்பைக்கு மாற்றுகிறது (அதை உருவாக்கும் போது கருதப்படுகிறது. ஒரு கட்டணம், கிளிப்போர்டு பரிமாற்ற பணப்பை எண் மூலம் மாற்றப்பட்ட பணம் வேறுபட்டது என்பதை பாதிக்கப்பட்டவர் கவனிக்க மாட்டார்).
மாற்றீடு ஒரு ஜாவாஸ்கிரிப்ட் ஸ்கிரிப்ட் மூலம் செய்யப்படுகிறது, இது தீங்கிழைக்கும் தொகுப்பை நிறுவிய பின், உலாவி செருகு நிரலின் வடிவத்தில் உலாவியில் உட்பொதிக்கப்படுகிறது, இது ஒவ்வொரு இணையப் பக்கத்தின் பின்னணியிலும் செயல்படுத்தப்படுகிறது. செருகு நிரல் நிறுவல் செயல்முறையானது Windows இயங்குதளத்திற்கு குறிப்பிட்டது மற்றும் Chrome, Edge மற்றும் Brave உலாவிகளில் செயல்படுத்தப்படுகிறது. ETH, BTC, BNB, LTC மற்றும் TRX கிரிப்டோகரன்சிகளுக்கான பணப்பைகளை மாற்றுவதை ஆதரிக்கிறது.
தீங்கிழைக்கும் தொகுப்புகள் PyPI கோப்பகத்தில் டைப்ஸ்குவாட்டிங்கைப் பயன்படுத்தி சில பிரபலமான நூலகங்களாக மாறுவேடமிடப்படுகின்றன (தனிப்பட்ட எழுத்துக்களில் வேறுபடும் ஒத்த பெயர்களை ஒதுக்குதல், எடுத்துக்காட்டாக, உதாரணத்திற்குப் பதிலாக ஜாங்கோ, ஜாங்கோவுக்குப் பதிலாக ஜாங்கூ, பைத்தானுக்குப் பதிலாக பைட்டான் போன்றவை). உருவாக்கப்பட்ட குளோன்கள் முறையான நூலகங்களை முழுவதுமாகப் பிரதிபலிப்பதால், தீங்கிழைக்கும் செருகலில் மட்டுமே வேறுபடுவதால், தாக்குபவர்கள் கவனக்குறைவான பயனர்களை நம்பியிருக்கிறார்கள், அவர்கள் எழுத்துப் பிழையை செய்து, தேடும் போது பெயர் வித்தியாசத்தை கவனிக்கவில்லை. அசல் முறையான நூலகங்களின் பிரபலத்தை கணக்கில் எடுத்துக்கொள்வது (பதிவிறக்கங்களின் எண்ணிக்கை ஒரு நாளைக்கு 21 மில்லியன் பிரதிகளைத் தாண்டியது), தீங்கிழைக்கும் குளோன்கள் மாறுவேடமிடப்பட்டால், பாதிக்கப்பட்டவரைப் பிடிப்பதற்கான நிகழ்தகவு மிகவும் அதிகமாக உள்ளது; எடுத்துக்காட்டாக, வெளியிடப்பட்ட ஒரு மணி நேரத்திற்குப் பிறகு முதல் தீங்கிழைக்கும் தொகுப்பு, இது 100 முறைக்கு மேல் பதிவிறக்கம் செய்யப்பட்டது.
ஒரு வாரத்திற்கு முன்பு இதே ஆராய்ச்சியாளர்கள் குழு PyPI இல் 30 தீங்கிழைக்கும் தொகுப்புகளை அடையாளம் கண்டுள்ளது குறிப்பிடத்தக்கது, அவற்றில் சில பிரபலமான நூலகங்களாக மாறுவேடமிட்டன. சுமார் இரண்டு வாரங்கள் நீடித்த இந்த தாக்குதலின் போது, தீங்கிழைக்கும் தொகுப்புகள் 5700 முறை பதிவிறக்கம் செய்யப்பட்டன. இந்த பேக்கேஜ்களில் கிரிப்டோ வாலட்களை மாற்றுவதற்கான ஸ்கிரிப்ட்டுக்குப் பதிலாக, W4SP-Stealer என்ற நிலையான கூறு பயன்படுத்தப்பட்டது, இது சேமிக்கப்பட்ட கடவுச்சொற்கள், அணுகல் விசைகள், கிரிப்டோ பணப்பைகள், டோக்கன்கள், அமர்வு குக்கீகள் மற்றும் பிற ரகசியத் தகவல்களை உள்ளூர் அமைப்பில் தேடுகிறது மற்றும் கண்டுபிடிக்கப்பட்ட கோப்புகளை அனுப்புகிறது. டிஸ்கார்ட் மூலம்.
W4SP-Stealer க்கான அழைப்பு, "__import__" என்ற சொற்றொடரை setup.py அல்லது __init__.py கோப்புகளில் மாற்றுவதன் மூலம் செய்யப்பட்டது, இது உரை திருத்தியில் தெரியும் பகுதிக்கு வெளியே __import__ க்கு அழைப்பை மேற்கொள்ள அதிக எண்ணிக்கையிலான இடைவெளிகளால் பிரிக்கப்பட்டது. "__import__" பிளாக் Base64 பிளாக்கை டிகோட் செய்து தற்காலிக கோப்பில் எழுதியது. கணினியில் W4SP Stealer ஐ பதிவிறக்கம் செய்து நிறுவுவதற்கான ஸ்கிரிப்ட் பிளாக்கில் உள்ளது. “__import__” வெளிப்பாடுக்குப் பதிலாக, setup.py ஸ்கிரிப்டில் இருந்து “pip install” அழைப்பைப் பயன்படுத்தி கூடுதல் தொகுப்பை நிறுவுவதன் மூலம் சில தொகுப்புகளில் உள்ள தீங்கிழைக்கும் தொகுதி நிறுவப்பட்டது.
கிரிப்டோ வாலட் எண்களை ஏமாற்றும் தீங்கிழைக்கும் தொகுப்புகள் அடையாளம் காணப்பட்டுள்ளன:
- அழகான சூப்4
- அழகானது4
- குளோரமா
- குறியாக்கவியல்
- கிரிப்டோகிராபி
- ஜாங்கு
- வணக்கம்-உலகம்-உதாரணம்
- வணக்கம்-உலகம்-உதாரணம்
- ipyhton
- அஞ்சல் சரிபார்ப்பாளர்
- mysql-connector-pyhton
- குறிப்பேடு
- பியாடோஜியு
- பைகாம்
- pythorhc
- மலைப்பாம்பு-dateuti
- மலைப்பாம்பு-குடுவை
- மலைப்பாம்பு3-குடுவை
- பயல்
- rqueests
- ஸ்லீனியம்
- sqlachemy
- sqlalcemy
- tkniter
- urllib
கணினியில் இருந்து முக்கியமான தரவை அனுப்பும் தீங்கிழைக்கும் தொகுப்புகள் அடையாளம் காணப்பட்டன:
- வகைசூட்டில்
- தட்டச்சு சரம்
- sutiltype
- டூனெட்
- ஃபட்னூப்
- ஸ்டிரின்ஃபர்
- pydprotect
- குற்றமற்ற
- ட்வைன்
- பைப்டெக்ஸ்ட்
- நிறுவல்
- கேள்விகள்
- கலர்வின்
- கோரிக்கைகள்-httpx
- நிறங்கள்
- ஷாசிக்மா
- லேசான கயிறு
- felpesviadinho
- சைப்ரஸ்
- பைஸ்டிட்
- பைஸ்லைட்
- பைஸ்டைல்
- பைர்லிப்
- அல்காரிதமிக்
- ஓ
- ஐயோ
- சுருட்டை
- வகை-நிறம்
- pyhints
ஆதாரம்: opennet.ru