PyPI (Python Package Index) కేటలాగ్లో, setup.py స్క్రిప్ట్లో అస్పష్టమైన కోడ్ని కలిగి ఉన్న 26 హానికరమైన ప్యాకేజీలు గుర్తించబడ్డాయి, ఇది క్లిప్బోర్డ్లో క్రిప్టో వాలెట్ ఐడెంటిఫైయర్ల ఉనికిని నిర్ధారిస్తుంది మరియు వాటిని దాడి చేసేవారి వాలెట్కి మారుస్తుంది (తయారీ చేస్తున్నప్పుడు ఇది ఊహించబడుతుంది చెల్లింపు, క్లిప్బోర్డ్ మార్పిడి వాలెట్ నంబర్ ద్వారా బదిలీ చేయబడిన డబ్బు భిన్నంగా ఉందని బాధితుడు గమనించడు).
ప్రత్యామ్నాయం JavaScript స్క్రిప్ట్ ద్వారా నిర్వహించబడుతుంది, ఇది హానికరమైన ప్యాకేజీని ఇన్స్టాల్ చేసిన తర్వాత, బ్రౌజర్ యాడ్-ఆన్ రూపంలో బ్రౌజర్లో పొందుపరచబడుతుంది, ఇది వీక్షించిన ప్రతి వెబ్ పేజీ సందర్భంలో అమలు చేయబడుతుంది. యాడ్-ఆన్ ఇన్స్టాలేషన్ ప్రాసెస్ Windows ప్లాట్ఫారమ్కు ప్రత్యేకమైనది మరియు Chrome, Edge మరియు Brave బ్రౌజర్ల కోసం అమలు చేయబడుతుంది. ETH, BTC, BNB, LTC మరియు TRX క్రిప్టోకరెన్సీల కోసం వాలెట్ల భర్తీకి మద్దతు ఇస్తుంది.
హానికరమైన ప్యాకేజీలు PyPI డైరెక్టరీలో టైప్క్వాటింగ్ని ఉపయోగించి కొన్ని ప్రసిద్ధ లైబ్రరీల వలె మారువేషంలో ఉంటాయి (వ్యక్తిగత అక్షరాలలో విభిన్నమైన సారూప్య పేర్లను కేటాయించడం, ఉదాహరణకు, ఉదాహరణకి బదులుగా ఉదాహరణ, జాంగోకు బదులుగా జంగూ, పైథాన్కు బదులుగా పైటన్ మొదలైనవి). సృష్టించబడిన క్లోన్లు చట్టబద్ధమైన లైబ్రరీలను పూర్తిగా ప్రతిబింబిస్తాయి, హానికరమైన చొప్పించడంలో మాత్రమే భిన్నంగా ఉంటాయి, దాడి చేసేవారు అక్షరదోషం చేసిన మరియు శోధిస్తున్నప్పుడు పేరులో తేడాను గమనించని అజాగ్రత్త వినియోగదారులపై ఆధారపడతారు. అసలైన చట్టబద్ధమైన లైబ్రరీల (రోజుకు డౌన్లోడ్ల సంఖ్య 21 మిలియన్ కాపీలు మించిపోయింది) యొక్క ప్రజాదరణను పరిగణనలోకి తీసుకుంటే, హానికరమైన క్లోన్లు మారువేషంలో ఉంటాయి, బాధితుడిని పట్టుకునే సంభావ్యత చాలా ఎక్కువగా ఉంటుంది; ఉదాహరణకు, ప్రచురించబడిన గంట తర్వాత మొదటి హానికరమైన ప్యాకేజీ, ఇది 100 కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడింది.
ఒక వారం క్రితం అదే పరిశోధకుల బృందం PyPIలో 30 ఇతర హానికరమైన ప్యాకేజీలను గుర్తించడం గమనార్హం, వాటిలో కొన్ని ప్రముఖ లైబ్రరీలుగా మారువేషంలో ఉన్నాయి. దాదాపు రెండు వారాల పాటు జరిగిన ఈ దాడిలో, హానికరమైన ప్యాకేజీలు 5700 సార్లు డౌన్లోడ్ చేయబడ్డాయి. ఈ ప్యాకేజీలలో క్రిప్టో వాలెట్లను భర్తీ చేయడానికి స్క్రిప్ట్కు బదులుగా, ప్రామాణిక భాగం W4SP-స్టీలర్ ఉపయోగించబడింది, ఇది సేవ్ చేయబడిన పాస్వర్డ్లు, యాక్సెస్ కీలు, క్రిప్టో వాలెట్లు, టోకెన్లు, సెషన్ కుక్కీలు మరియు ఇతర రహస్య సమాచారం కోసం స్థానిక సిస్టమ్ను శోధిస్తుంది మరియు కనుగొనబడిన ఫైల్లను పంపుతుంది. డిస్కార్డ్ ద్వారా.
W4SP-Stealerకి కాల్ "__import__" అనే వ్యక్తీకరణను setup.py లేదా __init__.py ఫైల్లలోకి మార్చడం ద్వారా జరిగింది, ఇది టెక్స్ట్ ఎడిటర్లో కనిపించే ప్రాంతం వెలుపల __import__కి కాల్ చేయడానికి పెద్ద సంఖ్యలో ఖాళీల ద్వారా వేరు చేయబడింది. "__import__" బ్లాక్ Base64 బ్లాక్ని డీకోడ్ చేసి తాత్కాలిక ఫైల్కి వ్రాసింది. సిస్టమ్లో W4SP స్టీలర్ను డౌన్లోడ్ చేయడానికి మరియు ఇన్స్టాల్ చేయడానికి బ్లాక్లో స్క్రిప్ట్ ఉంది. “__import__” వ్యక్తీకరణకు బదులుగా, setup.py స్క్రిప్ట్ నుండి “పిప్ ఇన్స్టాల్” కాల్ని ఉపయోగించి అదనపు ప్యాకేజీని ఇన్స్టాల్ చేయడం ద్వారా కొన్ని ప్యాకేజీలలోని హానికరమైన బ్లాక్ ఇన్స్టాల్ చేయబడింది.
క్రిప్టో వాలెట్ నంబర్లను మోసగించే హానికరమైన ప్యాకేజీలను గుర్తించింది:
- అందమైన సూప్ 4
- అందమైన సప్4
- క్లోరమా
- క్రిప్టోగ్రఫీ
- క్రిప్టోగ్రఫీ
- జంగూ
- హలో-వరల్డ్-ఉదాహరణ
- హలో-వరల్డ్-ఉదాహరణ
- ipyhton
- మెయిల్-వాలిడేటర్
- mysql-connector-pyhton
- నోట్బుక్
- ప్యుటోగియు
- పైగేమ్
- pythorhc
- కొండచిలువ-dateuti
- పైథాన్-ఫ్లాస్క్
- పైథాన్3-ఫ్లాస్క్
- పైల్మ్
- rqueests
- స్లీనియం
- స్క్లాకెమీ
- sqlalcemy
- tkniter
- urllib
సిస్టమ్ నుండి సున్నితమైన డేటాను పంపుతున్న హానికరమైన ప్యాకేజీలను గుర్తించింది:
- టైప్సుటిల్
- టైప్ స్ట్రింగ్
- సూటిల్టైప్
- డ్యూనెట్
- fatnoob
- స్ట్రిన్ఫర్
- pydprotect
- నేరస్థుడు
- ట్వైన్
- pyptext
- సంస్థాపన
- ఎఫ్ ఎ క్యూ
- కలర్విన్
- అభ్యర్థనలు-httpx
- రంగులు
- షాసిగ్మా
- స్ట్రింగ్
- ఫెల్పెస్వియాడిన్హో
- సైప్రస్
- pystyte
- పైస్లైట్
- పైస్టైల్
- pyurllib
- క్రమసూత్ర
- ఓయు
- అలాగే
- కర్లాపి
- రకం-రంగు
- pyhints
మూలం: opennet.ru