PyPI (Python Paket Dizini) kataloğunda, setup.py betiğinde, panodaki kripto cüzdan tanımlayıcılarının varlığını belirleyen ve bunları saldırganın cüzdanına değiştiren gizlenmiş kod içeren 26 kötü amaçlı paket tespit edildi (yapıldığında Ödeme yapıldığında mağdur, panoya aktarılan paranın cüzdan numarasının farklı olduğunu fark etmeyecektir).
Değiştirme, kötü amaçlı paket yüklendikten sonra tarayıcıya bir tarayıcı eklentisi biçiminde yerleştirilen ve görüntülenen her web sayfası bağlamında yürütülen bir JavaScript komut dosyası tarafından gerçekleştirilir. Eklenti yükleme işlemi Windows platformuna özeldir ve Chrome, Edge ve Brave tarayıcıları için uygulanır. ETH, BTC, BNB, LTC ve TRX kripto para birimleri için cüzdanların değiştirilmesini destekler.
Kötü amaçlı paketler, PyPI dizininde, typequatting kullanan bazı popüler kütüphaneler olarak gizlenir (bireysel karakterlerde farklılık gösteren benzer adlar atanır; örneğin, örneğin yerine examplepl, django yerine djangoo, python yerine pyhton vb.). Oluşturulan klonlar meşru kitaplıkları tamamen kopyaladığından, yalnızca kötü amaçlı eklemede farklılık gösterdiğinden, saldırganlar yazım hatası yapan ve arama sırasında addaki farkı fark etmeyen dikkatsiz kullanıcılara güvenir. Kötü amaçlı klonların gizlendiği orijinal meşru kütüphanelerin popülaritesi (indirme sayısı günlük 21 milyon kopyayı aşıyor) dikkate alındığında, bir kurbanın yakalanma olasılığı oldukça yüksektir; örneğin, yayının yayınlanmasından bir saat sonra. İlk kötü amaçlı paket 100'den fazla indirildi.
Bir hafta önce aynı araştırmacı grubunun PyPI'de bazılarının popüler kütüphaneler olarak gizlenen 30 başka kötü amaçlı paket tespit etmesi dikkat çekicidir. Yaklaşık iki hafta süren saldırı sırasında zararlı paketler 5700 kez indirildi. Bu paketlerdeki kripto cüzdanlarını değiştirecek bir komut dosyası yerine, yerel sistemde kayıtlı şifreleri, erişim anahtarlarını, kripto cüzdanlarını, tokenleri, oturum Çerezlerini ve diğer gizli bilgileri tarayan ve bulunan dosyaları gönderen standart W4SP-Stealer bileşeni kullanıldı. Discord aracılığıyla.
W4SP-Stealer çağrısı, setup.py veya __init__.py dosyalarına "__import__" ifadesinin yerleştirilmesiyle yapıldı; bu ifade, metin düzenleyicide görünür alanın dışında __import__ çağrısı yapmak için çok sayıda boşlukla ayrılmıştı. "__import__" bloğu Base64 bloğunun kodunu çözdü ve onu geçici bir dosyaya yazdı. Blok, W4SP Stealer'ı sisteme indirmek ve yüklemek için bir komut dosyası içeriyordu. Bazı paketlerdeki zararlı blok, “__import__” ifadesi yerine setup.py betiğinden “pip install” çağrısı kullanılarak ek paket kurularak kuruldu.
Kripto cüzdan numaralarını taklit eden tanımlanmış kötü amaçlı paketler:
- güzelsoup4
- güzelup4
- cloorama
- kriptografi
- kriptografi
- djangoo
- merhaba dünya örneği
- merhaba dünya örneği
- ipyton
- posta doğrulayıcı
- mysql-bağlayıcı-pyhton
- not defteri
- pyautogiu
- cüce
- Pythorhc
- python-dateuti
- piton şişesi
- python3 şişesi
- pyyalm
- talepler
- Slenyum
- sqlachemy
- sqlalcemy
- örgücü
- urllib
Sistemden hassas veriler gönderen, tespit edilen kötü amaçlı paketler:
- tipsutil
- dizgi
- kıyafet tipi
- ikili
- şişko
- sıkılaştırıcı
- Pydprotect
- increvelsim
- ikiz
- metin metni
- kurulum
- sss
- renkli
- istekler-httpx
- renkler
- Şaasigma
- sıkılaştırır
- Felpesviadinho
- selvi
- poyte
- pislit
- dikey
- pirurllib
- algoritmik
- ol
- Iao
- kıvırcık
- tip-renk
- ipuçları
Kaynak: opennet.ru