🥇Natuklasan sa PyPI repository ang mga malisyosong pakete na naglalayong magnakaw ng cryptocurrency

Dalawampu't anim na malisyosong pakete ang natukoy sa direktoryo ng PyPI (Python Package Index), na naglalaman ng obfuscated code sa setup.py script na nakakakita ng presensya ng mga crypto-wallet identifier sa clipboard at pinapalitan ang mga ito ng wallet ng attacker (ipinapalagay na kapag nagbabayad, hindi mapapansin ng biktima na iba ang numero ng wallet na inilipat sa pamamagitan ng clipboard).

Ang pagpapalit ay isinasagawa sa pamamagitan ng isang JavaScript script na, pagkatapos mai-install ang malisyosong pakete, ay inilalagay sa browser bilang isang browser add-on na tumatakbo sa konteksto ng bawat web page na tinitingnan. Ang proseso ng pag-install ng add-on ay partikular sa platform. Windows at ipinapatupad para sa mga browser ng Chrome, Edge, at Brave. Sinusuportahan ang wallet swapping para sa mga cryptocurrency ng ETH, BTC, BNB, LTC, at TRX.

Ang mga malisyosong pakete ay nakabalatkayo sa direktoryo ng PyPI bilang mga sikat na aklatan gamit ang typosquatting (pagtatalaga ng magkakatulad na pangalan na may natatanging mga karakter, tulad ng example sa halip na example, djangoo sa halip na django, pyhton sa halip na python, atbp.). Dahil ang mga clone ay magkapareho sa mga lehitimong aklatan, na nagkakaiba lamang sa malisyosong pagsingit, ang mga umaatake ay umaasa sa mga pabaya na gumagamit na gumagawa ng mga typo at hindi napapansin ang mga pagkakaiba ng pangalan habang naghahanap. Dahil sa kasikatan ng mga orihinal na lehitimong aklatan (na may mahigit 21 milyong download bawat araw), ang posibilidad na mahuli ang isang biktima ay medyo mataas. Halimbawa, sa loob ng isang oras pagkatapos mailathala ang unang malisyosong pakete, ito ay na-download na nang mahigit 100 beses.

Kapansin-pansin, isang linggo na ang nakalilipas, natuklasan din ng parehong grupo ng mga mananaliksik ang 30 iba pang malisyosong pakete sa PyPI, na ang ilan ay nagbalatkayo rin bilang mga sikat na library. Sa panahon ng pag-atake, na tumagal nang humigit-kumulang dalawang linggo, ang mga malisyosong pakete ay na-download nang 5700 beses. Sa halip na isang script para sa pagpapalit ng mga crypto wallet, gumamit ang mga paketeng ito ng isang karaniwang W4SP-Stealer component, na naghahanap sa lokal na sistema para sa mga naka-save na password, access key, crypto wallet, token, session cookies, at iba pang kumpidensyal na impormasyon, at ipinapadala ang mga nahanap na file sa pamamagitan ng Discord.

Ang W4SP-Stealer ay ginamit sa pamamagitan ng pagpasok ng ekspresyong "__import__" sa mga file na setup.py o __init__.py, na pinaghihiwalay ng maraming espasyo upang ilagay ang tawag na __import__ sa labas ng nakikitang lugar ng text editor. Na-decode ng blokeng "__import__" ang blokeng Base64 at isinulat ito sa isang pansamantalang file. Ang blokeng ito ay naglalaman ng isang script para sa pag-download at pag-install ng W4SP Stealer sa system. Sa halip na ekspresyong "__import__", ang malisyosong bloke ay isinama sa ilang mga pakete sa pamamagitan ng pag-install ng isang karagdagang pakete gamit ang tawag na "pip install" mula sa script na setup.py.