PyPI (Python Paket Dizini) kataloğunda, setup.py betiğinde, panodaki kripto cüzdan tanımlayıcılarının varlığını belirleyen ve bunları saldırganın cüzdanına değiştiren gizlenmiş kod içeren 26 kötü amaçlı paket tespit edildi (yapıldığında Ödeme yapıldığında mağdur, panoya aktarılan paranın cüzdan numarasının farklı olduğunu fark etmeyecektir).
Değiştirme işlemi, kötü amaçlı yazılım paketi yüklendikten sonra tarayıcıya bir eklenti olarak yerleştirilen ve görüntülenen her web sayfasının bağlamında çalışan bir JavaScript komut dosyası tarafından gerçekleştirilir. Eklenti yükleme süreci platforma özgüdür. Windows Chrome, Edge ve Brave tarayıcıları için uygulanmıştır. Cüzdan takası ETH, BTC, BNB, LTC ve TRX kripto para birimleri için desteklenmektedir.
Kötü amaçlı paketler, PyPI dizininde, typequatting kullanan bazı popüler kütüphaneler olarak gizlenir (bireysel karakterlerde farklılık gösteren benzer adlar atanır; örneğin, örneğin yerine examplepl, django yerine djangoo, python yerine pyhton vb.). Oluşturulan klonlar meşru kitaplıkları tamamen kopyaladığından, yalnızca kötü amaçlı eklemede farklılık gösterdiğinden, saldırganlar yazım hatası yapan ve arama sırasında addaki farkı fark etmeyen dikkatsiz kullanıcılara güvenir. Kötü amaçlı klonların gizlendiği orijinal meşru kütüphanelerin popülaritesi (indirme sayısı günlük 21 milyon kopyayı aşıyor) dikkate alındığında, bir kurbanın yakalanma olasılığı oldukça yüksektir; örneğin, yayının yayınlanmasından bir saat sonra. İlk kötü amaçlı paket 100'den fazla indirildi.
Bir hafta önce aynı araştırmacı grubunun PyPI'de bazılarının popüler kütüphaneler olarak gizlenen 30 başka kötü amaçlı paket tespit etmesi dikkat çekicidir. Yaklaşık iki hafta süren saldırı sırasında zararlı paketler 5700 kez indirildi. Bu paketlerdeki kripto cüzdanlarını değiştirecek bir komut dosyası yerine, yerel sistemde kayıtlı şifreleri, erişim anahtarlarını, kripto cüzdanlarını, tokenleri, oturum Çerezlerini ve diğer gizli bilgileri tarayan ve bulunan dosyaları gönderen standart W4SP-Stealer bileşeni kullanıldı. Discord aracılığıyla.
W4SP-Stealer çağrısı, setup.py veya __init__.py dosyalarına "__import__" ifadesinin yerleştirilmesiyle yapıldı; bu ifade, metin düzenleyicide görünür alanın dışında __import__ çağrısı yapmak için çok sayıda boşlukla ayrılmıştı. "__import__" bloğu Base64 bloğunun kodunu çözdü ve onu geçici bir dosyaya yazdı. Blok, W4SP Stealer'ı sisteme indirmek ve yüklemek için bir komut dosyası içeriyordu. Bazı paketlerdeki zararlı blok, “__import__” ifadesi yerine setup.py betiğinden “pip install” çağrısı kullanılarak ek paket kurularak kuruldu.
Kripto cüzdan numaralarını taklit eden tanımlanmış kötü amaçlı paketler:
- güzelsoup4
- güzelup4
- cloorama
- kriptografi
- kriptografi
- djangoo
- merhaba dünya örneği
- merhaba dünya örneği
- ipyton
- posta doğrulayıcı
- mysql-bağlayıcı-pyhton
- not defteri
- pyautogiu
- cüce
- Pythorhc
- python-dateuti
- piton şişesi
- python3 şişesi
- pyyalm
- talepler
- Slenyum
- sqlachemy
- sqlalcemy
- örgücü
- urllib
Sistemden hassas veriler gönderen, tespit edilen kötü amaçlı paketler:
- tipsutil
- dizgi
- kıyafet tipi
- ikili
- şişko
- sıkılaştırıcı
- Pydprotect
- increvelsim
- ikiz
- metin metni
- kurulum
- sss
- renkli
- istekler-httpx
- renkler
- Şaasigma
- sıkılaştırır
- Felpesviadinho
- selvi
- poyte
- pislit
- dikey
- pirurllib
- algoritmik
- ol
- Iao
- kıvırcık
- tip-renk
- ipuçları
Kaynak: opennet.ru
