Καμπάνια με κακόβουλα PyPI python packages που εγκαθιστούν κακόβουλα browser extensions με σκοπό την κοπή crypto είχε ξεκινήσει το Νοέμβριο του 2022 και τώρα φαίνεται να έχει λάβει επικίνδυνες διαστάσες. Η αρχική καμπάνια είχε μόλις 27 πακέτα τα οποία τους τελευταίους μήνες έχουν γίνει 451.
Σκοπός αυτών των PyPi πακέτων είναι να εγκαταστήσουν στο πρόγραμμα περιήγησης σας κακόβουλα extensions, ώστε να ληστεύουν τις συναλλαγές cryptocurrency που πραγματοποιούνται μέσω πορτοφολιών ή σελίδων βασισμένες σε browser.
Δείτε επίσης : Δεκάδες πακέτα PyPI εντοπίστηκαν να “ρίχνουν” info-stealing malware W4SP
Τα συγκεκριμένα πακέτα έχουν λάβει την μορφή κάποιων δημοφιλή πακέτων αλλά με μικρές διαφορές, όπως κάποια αλλαγή στους χαρακτήρες. Σκοπός τους είναι να μπερδέψουν τους προγραμματιστές ώστε να εγκαταστήσουν εκείνα τα κακόβουλα πακέτα αντί των γνήσιων.
Το νέο κύμα των τυπογραφικών λαθών
Κάποια από τα πιο δημοφιλή πακέτα που προσπαθούν να μιμηθούν είναι bitcoinlib, ccxt, cryptocompare, cryptofeed, freqtrade, selenium, solana, vyper, websockets, yfinance, pandas, matplotlib, aiohttp, beautifulsoup, tensorflow, selenium, scrapy, colorama, scikit-learn, pytorch, pygame, και pyinstaller.
Για κάθε PyPi πακέτο οι φορείς χρησιμοποιούν από 13-38 διαφορετικές εκδόσεις με τυπογραφικά λάθη ώστε να μπορέσουν να καλύψουν ένα ευρύ φάσμα λαθών πληκτρολόγησης με αποτέλεσμα να εγκατασταθούν τα κακόβουλα πακέτα.
Πρόταση: Κακόβουλα PyPI packages παραβιάζουν μηχανήματα για cryptomining
Αν και το Νοέμβριο του 2022 αυτή η μέθοδος με τους κινέζικους χαρακτήρες δεν υπήρχε, τώρα χρησιμοποιούν ένα τυχαίο 16-bit συνδυασμό από ιδεογραφίες για τις συναρτήσεις και για τα αναγνωριστικά των μεταβλητών.
Οι αναλυτές της Phylum ανακάλυψαν πως παρόλο που χρησιμοποιούν μια σειρά από αριθμητικές πράξεις για την παραγωγή των χαρακτήρων και φαίνεται ως ένα δυνατό αποτέλεσμα εικονικά, δεν είναι τόσο δύσκολο στο να το «σπάσεις».
Τα κακόβουλα extension
Με σκοπό να λάβουν τον έλεγχο των συναλλαγών των cryptocurrency τα κακόβουλα PyPi πακέτα δημιουργούν ένα browser extension στον φάκελο %AppData%\Extension, όπως τον Νοέμβριο 2022.
Ψάχνει μετά shortcuts που να έχουν σχέση με το Google Chrome, Microsoft Edge, Brave and Opera και λαμβάνει τον έλεγχο τους ώστε να φορτώσουν το κακόβουλο extension χρησιμοποιώντας την «–load extension’ εντολή στο command line.
Για παράδειγμα “C:\Program Files\Google\Chrome\Application\chrome.exe –load-extension=%AppData%\\Extension” για το Google Chrome.
Όταν, λοιπόν, ανοίξει ένας browser τότε το extension φορτώνει και ένα κακόβουλος κώδικας JavaScipt θα παρακολουθεί για διευθύνσεις cryptocurrency που είναι αντιγραμμένες στο clipboard των Windows.
Όταν μια διεύθυνση βρεθεί, το extension θα την αντικαταστήσει με ένα σύνολο από κωδικοποιημένες διευθύνσεις υπό τον έλεγχο των hackers. Έτσι ό,τι συναλλαγές γίνονται θα πηγαίνουν κατευθείαν στο πορτοφόλι των ληστών και όχι στον προοριζόμενο παραλήπτη.
Διαβάστε επίσης : Python Package Index (PyPI) και GitLab δέχονται επιθέσεις spam
Για την πλήρη λίστα των κακόβουλων πακέτων που πρέπει να αποφύγετε δείτε στην κάτω ενότητα της αναφοράς του Phylum.
