PyPI (Python Package Index) katalogida 26 ta zararli paketlar topildi, bunda setup.py skriptida kripto-hamyon identifikatorlari mavjudligini aniqlaydigan va ularni tajovuzkor hamyoniga o'zgartiradigan (to'lovni amalga oshirishda shunday bo'ladi deb taxmin qilinadi) o'z ichiga oladi. , jabrlanuvchi clipboard orqali o'tkazilgan almashinuv hamyonining raqami boshqacha ekanligini sezmaydi).
O'zgartirish JavaScript skripti orqali amalga oshiriladi, u zararli paketni o'rnatgandan so'ng brauzerga har bir ko'rilgan veb-sahifa kontekstida bajariladigan brauzer plaginlari ko'rinishida kiritilgan. Qo'shimchani o'rnatish jarayoni Windows platformasi bilan bog'langan va Chrome, Edge va Brave brauzerlari uchun amalga oshiriladi. ETH, BTC, BNB, LTC va TRX kriptovalyutalariga hamyonlarni almashtirishni qo'llab-quvvatlaydi.
Zararli paketlar PyPI katalogida typequatting (alohida belgilarda farq qiluvchi o'xshash nomlarni belgilash, masalan, django o'rniga djangoo, python o'rniga pythton va boshqalar) yordamida ba'zi mashhur kutubxonalar sifatida yashiringan. Yaratilgan klonlar faqat zararli qo'shimchada farq qiluvchi qonuniy kutubxonalarni to'liq takrorlaganligi sababli, tajovuzkorlar matn terish xatosiga yo'l qo'ygan va qidiruv paytida nomdagi farqlarni sezmagan beparvo foydalanuvchilarga ishonishadi. Zararli klonlar sifatida yashiringan asl qonuniy kutubxonalarning mashhurligini (yuklab olishlar soni kuniga 21 million nusxadan oshadi) hisobga olinsa, jabrlanuvchini ushlash ehtimoli ancha yuqori, masalan, nashr etilganidan bir soat o'tgach. birinchi zararli paket, u 100 martadan ko'proq yuklab olingan.
Shunisi e'tiborga loyiqki, bir hafta oldin xuddi shu tadqiqotchilar guruhi PyPI'da yana 30 ta zararli paketlarni aniqladilar, ularning ba'zilari ham mashhur kutubxonalar sifatida niqoblangan. Taxminan ikki hafta davom etgan hujum davomida zararli paketlar 5700 marta yuklab olingan. Ushbu paketlardagi kripto hamyonlarni almashtirish uchun skript o'rniga mahalliy tizimda saqlangan parollar, kirish kalitlari, kripto hamyonlar, tokenlar, seans kukilari va boshqa maxfiy ma'lumotlarni qidiradigan va topilgan fayllarni yuboradigan odatiy W4SP-Stealer komponenti ishlatilgan. Discord orqali.
W4SP-Stealerga qo'ng'iroq matndagi ko'rinadigan joydan tashqarida __import__ qo'ng'iroq qilish uchun setup.py yoki __init__.py fayllaridagi "__import__" bayonotini almashtirish orqali amalga oshirildi, ular juda ko'p bo'sh joylar bilan ajratilgan. muharrir. "__import__" blokida blok Base64 formatida dekodlangan va vaqtinchalik faylga yozilgan. Blokda tizimga W4SP Stealer-ni yuklab olish va o'rnatish uchun skript mavjud edi. "__import__" iborasi o'rniga zararli blok setup.py skriptidan "pip install" ni chaqirish orqali qo'shimcha paketni o'rnatish orqali ba'zi paketlarga ulangan.
Kripto hamyon raqamlarini almashtiradigan aniqlangan zararli paketlar:
- baeutifulshoup4
- go'zal sup4
- kloorama
- kriptografiya
- skript yaratish
- djangoo
- Salom dunyo misoli
- Salom dunyo misoli
- ipyhton
- pochta tekshiruvchisi
- mysql-ulagichi-pyhton
- bloknot qutisi
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- piton kolbasi
- python3 - shisha
- pyyalm
- so'rovlar
- slenium
- sqlachemy
- sqlalcemy
- tkniter
- urllib
Tizimdan maxfiy ma'lumotlarni yuboradigan aniqlangan zararli paketlar:
- typesutil
- yozuv ipi
- Sutiltype
- duonet
- fatnoob
- Strinfer
- pydprotect
- incrivelsim
- ip
- pipttekst
- o'rnatish
- TSS
- colorwin
- so'rovlar - httpx
- ranglar
- shaasigma
- ip
- felpesviadinho
- sarv
- pystyle
- pyslyte
- pystyle
- pirurllib
- algoritmik
- ooh
- xayr
- curlapi
- turi-rang
- pixintlar
Manba: opennet.ru