Sa catalog ng PyPI (Python Package Index), 26 na nakakahamak na package ang natukoy na naglalaman ng na-obfuscate na code sa setup.py script, na tumutukoy sa pagkakaroon ng mga crypto wallet identifier sa clipboard at binabago ang mga ito sa wallet ng attacker (pinapalagay na kapag gumagawa isang pagbabayad, hindi mapapansin ng biktima na ang pera na inilipat sa pamamagitan ng clipboard exchange wallet number ay iba).
Ang pagpapalit ay isinasagawa ng isang script ng JavaScript, na, pagkatapos i-install ang nakakahamak na pakete, ay naka-embed sa browser sa anyo ng isang browser add-on, na isinasagawa sa konteksto ng bawat web page na tiningnan. Ang proseso ng pag-install ng add-on ay partikular sa platform ng Windows at ipinapatupad para sa mga browser ng Chrome, Edge at Brave. Sinusuportahan ang pagpapalit ng mga wallet para sa ETH, BTC, BNB, LTC at TRX cryptocurrencies.
Ang mga nakakahamak na pakete ay itinago sa direktoryo ng PyPI bilang ilang sikat na aklatan na gumagamit ng typesquatting (nagtatalaga ng mga katulad na pangalan na naiiba sa mga indibidwal na character, halimbawa, halimbawa, sa halip na halimbawa, djangoo sa halip na django, pyhton sa halip na python, atbp.). Dahil ang mga ginawang clone ay ganap na ginagaya ang mga lehitimong aklatan, na nagkakaiba lamang sa isang nakakahamak na pagpapasok, umaasa ang mga umaatake sa mga user na walang pansin na gumawa ng typo at hindi napansin ang pagkakaiba sa pangalan kapag naghahanap. Isinasaalang-alang ang katanyagan ng orihinal na mga lehitimong aklatan (ang bilang ng mga pag-download ay lumampas sa 21 milyong kopya bawat araw), kung saan ang mga nakakahamak na clone ay nakatago bilang, ang posibilidad na mahuli ang isang biktima ay medyo mataas; halimbawa, isang oras pagkatapos ng paglalathala ng unang nakakahamak na pakete, na-download ito nang higit sa 100 beses.
Kapansin-pansin na isang linggo na ang nakalipas ang parehong grupo ng mga mananaliksik ay nakilala ang 30 iba pang malisyosong pakete sa PyPI, ang ilan sa mga ito ay itinago rin bilang mga sikat na aklatan. Sa panahon ng pag-atake, na tumagal ng halos dalawang linggo, ang mga nakakahamak na pakete ay na-download ng 5700 beses. Sa halip na isang script upang palitan ang mga crypto wallet sa mga package na ito, ginamit ang karaniwang bahagi na W4SP-Stealer, na naghahanap sa lokal na sistema para sa mga naka-save na password, access key, crypto wallet, token, session Cookies at iba pang kumpidensyal na impormasyon, at nagpapadala ng mga nahanap na file. sa pamamagitan ng Discord.
Ang tawag sa W4SP-Stealer ay ginawa sa pamamagitan ng pagpapalit ng expression na "__import__" sa setup.py o __init__.py na mga file, na pinaghihiwalay ng malaking bilang ng mga puwang upang gawin ang tawag sa __import__ sa labas ng nakikitang lugar sa text editor. Ang "__import__" block ay nag-decode ng Base64 block at isinulat ito sa isang pansamantalang file. Ang block ay naglalaman ng script para sa pag-download at pag-install ng W4SP Stealer sa system. Sa halip na "__import__" na expression, ang nakakahamak na bloke sa ilang mga pakete ay na-install sa pamamagitan ng pag-install ng karagdagang package gamit ang "pip install" na tawag mula sa setup.py script.
Natukoy na mga nakakahamak na pakete na nanloloko ng mga numero ng crypto wallet:
- baeutifulsoup4
- beautifulsup4
- cloorama
- cryptographyh
- crpytography
- djangoo
- hello-world-example
- hello-world-example
- ipyhton
- mail-validator
- mysql-connector-pyhton
- notebook
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- python-flask
- python3-prasko
- pyyalm
- rqueuests
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Natukoy na mga nakakahamak na pakete na nagpapadala ng sensitibong data mula sa system:
- typesutil
- typestring
- sutiltype
- duonet
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- faq
- colorwin
- mga kahilingan-httpx
- colorsama
- shaasigma
- string
- felpesviadinho
- saypres
- pystyte
- pyslyte
- pystyle
- pyurllib
- algorithmic
- ooh
- iao
- curlapi
- uri-kulay
- pyhints
Pinagmulan: opennet.ru