โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มีการระบุแพ็คเกจที่เป็นอันตรายที่มุ่งขโมย cryptocurrency ในที่เก็บ PyPI

มีการระบุแพ็คเกจที่เป็นอันตรายที่มุ่งขโมย cryptocurrency ในที่เก็บ PyPI

ในแค็ตตาล็อก PyPI (Python Package Index) มีการระบุแพ็คเกจที่เป็นอันตราย 26 รายการที่มีรหัสที่สร้างความสับสนในสคริปต์ setup.py ซึ่งกำหนดว่ามีตัวระบุกระเป๋าเงินเข้ารหัสลับในคลิปบอร์ดและเปลี่ยนเป็นกระเป๋าเงินของผู้โจมตี (สันนิษฐานว่าเมื่อทำ การชำระเงินเหยื่อจะไม่สังเกตว่าเงินที่โอนผ่านหมายเลขกระเป๋าเงินแลกเปลี่ยนคลิปบอร์ดแตกต่างกัน)

การทดแทนจะดำเนินการโดยสคริปต์ JavaScript ซึ่งหลังจากติดตั้งแพ็คเกจที่เป็นอันตรายแล้ว จะถูกฝังอยู่ในเบราว์เซอร์ในรูปแบบของโปรแกรมเสริมของเบราว์เซอร์ ซึ่งดำเนินการในบริบทของหน้าเว็บแต่ละหน้าที่ดู กระบวนการติดตั้งส่วนเสริมนั้นเฉพาะกับแพลตฟอร์ม Windows และใช้กับเบราว์เซอร์ Chrome, Edge และ Brave รองรับการเปลี่ยนกระเป๋าเงินสำหรับสกุลเงินดิจิทัล ETH, BTC, BNB, LTC และ TRX

แพ็คเกจที่เป็นอันตรายจะถูกปลอมแปลงในไดเร็กทอรี PyPI เนื่องจากไลบรารียอดนิยมบางแห่งใช้ typequatting (การกำหนดชื่อที่คล้ายกันซึ่งแตกต่างกันในอักขระแต่ละตัว เช่น example, แทน example, djangoo แทน django, pyhton แทน python เป็นต้น) เนื่องจากโคลนที่สร้างขึ้นจะจำลองไลบรารีที่ถูกต้องตามกฎหมายโดยสมบูรณ์ ต่างกันเพียงการแทรกที่เป็นอันตราย ผู้โจมตีจึงอาศัยผู้ใช้ที่ไม่ตั้งใจซึ่งพิมพ์ผิดและไม่ได้สังเกตเห็นความแตกต่างในชื่อเมื่อทำการค้นหา เมื่อคำนึงถึงความนิยมของไลบรารีที่ถูกต้องตามกฎหมายดั้งเดิม (จำนวนการดาวน์โหลดเกิน 21 ล้านชุดต่อวัน) ซึ่งโคลนที่เป็นอันตรายถูกปลอมแปลงเป็น ความน่าจะเป็นที่จะจับเหยื่อค่อนข้างสูง ตัวอย่างเช่น หนึ่งชั่วโมงหลังจากการเผยแพร่ แพ็คเกจที่เป็นอันตรายชุดแรก มีการดาวน์โหลดมากกว่า 100 ครั้ง

เป็นที่น่าสังเกตว่าเมื่อสัปดาห์ที่แล้วกลุ่มนักวิจัยกลุ่มเดียวกันได้ระบุแพ็คเกจที่เป็นอันตรายอื่น ๆ อีก 30 รายการใน PyPI ซึ่งบางแพ็คเกจก็ปลอมตัวเป็นไลบรารียอดนิยมด้วย ในระหว่างการโจมตีซึ่งกินเวลาประมาณสองสัปดาห์ มีการดาวน์โหลดแพ็คเกจที่เป็นอันตรายถึง 5700 ครั้ง แทนที่จะใช้สคริปต์เพื่อแทนที่กระเป๋าสตางค์ crypto ในแพ็คเกจเหล่านี้ มีการใช้ส่วนประกอบมาตรฐาน W4SP-Stealer ซึ่งค้นหาระบบภายในเครื่องเพื่อหารหัสผ่านที่บันทึกไว้ คีย์การเข้าถึง กระเป๋าเงิน crypto โทเค็น คุกกี้เซสชัน และข้อมูลลับอื่น ๆ และส่งไฟล์ที่พบ ผ่านทางดิสคอร์ด

การเรียกไปยัง W4SP-Stealer ทำได้โดยการแทนที่นิพจน์ "__import__" ลงในไฟล์ setup.py หรือ __init__.py ซึ่งถูกคั่นด้วยช่องว่างจำนวนมากเพื่อทำการเรียกไปยัง __import__ นอกพื้นที่ที่มองเห็นได้ในโปรแกรมแก้ไขข้อความ บล็อก "__import__" ถอดรหัสบล็อก Base64 และเขียนลงในไฟล์ชั่วคราว บล็อกนี้มีสคริปต์สำหรับดาวน์โหลดและติดตั้ง W4SP Stealer บนระบบ แทนที่จะเป็นนิพจน์ “__import__” บล็อกที่เป็นอันตรายในบางแพ็คเกจได้รับการติดตั้งโดยการติดตั้งแพ็คเกจเพิ่มเติมโดยใช้การเรียก “pip install” จากสคริปต์ setup.py

มีการระบุแพ็คเกจที่เป็นอันตรายที่มุ่งขโมย cryptocurrency ในที่เก็บ PyPI

ระบุแพ็คเกจที่เป็นอันตรายซึ่งปลอมแปลงหมายเลขกระเป๋าเงินดิจิตอลเข้ารหัส:

  • ซุปใส4
  • สวยซุป4
  • คลูรามา
  • การเข้ารหัส
  • วิทยาการเข้ารหัสลับ
  • จังกู
  • สวัสดีชาวโลกตัวอย่าง
  • สวัสดีชาวโลกตัวอย่าง
  • ไอไพตัน
  • เครื่องมือตรวจสอบเมล
  • mysql-connector-pyhton.php?
  • สมุดบันทึก
  • พยัวโตกิว
  • ปิแกม
  • ไพธอร์ค
  • หลาม-dateuti
  • หลามขวด
  • python3-ขวด
  • พยัลม์
  • คุณต้องการ
  • สลีเนียม
  • sqlachemy
  • sqlalcemy
  • เสื้อถัก
  • urllib

ระบุแพ็คเกจที่เป็นอันตรายที่ส่งข้อมูลละเอียดอ่อนจากระบบ:

  • ประเภทยูทิลิตี้
  • พิมพ์ดีด
  • นิสัยไม่ดี
  • ดูโอเน็ต
  • คนอ้วน
  • เข้มงวดมากขึ้น
  • ไพด์โพรเทค
  • incrivelsim
  • เกลียว
  • พิพเท็กซ์
  • การติดตั้ง
  • คำถามที่พบบ่อย
  • คัลเลอร์วิน
  • คำขอ-httpx
  • คัลเลอร์มา
  • ชาซิมา
  • กระชับ
  • เฟลเปสเวียดิญโญ่
  • ต้นไซเปรซ
  • ไพสไตต์
  • ไพสไลต์
  • พีสไตล์
  • ไพร์ลลิบ
  • อัลกอริทึม
  • อุ้ย
  • ตกลง
  • เคอร์ลาปี
  • ประเภทสี
  • ไพฮินท์

ที่มา: opennet.ru

เพิ่มความคิดเห็น