ΑρχικήSecurityPyPi python packages κλέβουν crypto μέσω Chrome extensions

PyPi python packages κλέβουν crypto μέσω Chrome extensions

PyPi python packages κλέβουν crypto μέσω Chrome extensions

Καμπάνια με κακόβουλα PyPI python packages που εγκαθιστούν κακόβουλα browser extensions με σκοπό την κοπή crypto είχε ξεκινήσει το Νοέμβριο του 2022 και τώρα φαίνεται να έχει λάβει επικίνδυνες διαστάσες. Η αρχική καμπάνια είχε μόλις 27 πακέτα τα οποία τους τελευταίους μήνες έχουν γίνει 451.

Σκοπός αυτών των PyPi πακέτων είναι να εγκαταστήσουν στο πρόγραμμα περιήγησης σας κακόβουλα extensions, ώστε να ληστεύουν τις συναλλαγές cryptocurrency που πραγματοποιούνται μέσω πορτοφολιών ή σελίδων βασισμένες σε browser.

Δείτε επίσης : Δεκάδες πακέτα PyPI εντοπίστηκαν να “ρίχνουν” info-stealing malware W4SP

Τα συγκεκριμένα πακέτα έχουν λάβει την μορφή κάποιων δημοφιλή πακέτων αλλά με μικρές διαφορές, όπως κάποια αλλαγή στους χαρακτήρες. Σκοπός τους είναι να μπερδέψουν τους προγραμματιστές ώστε να εγκαταστήσουν εκείνα τα κακόβουλα πακέτα αντί των γνήσιων.

Το νέο κύμα των τυπογραφικών λαθών

Κάποια από τα πιο δημοφιλή πακέτα που προσπαθούν να μιμηθούν είναι bitcoinlib, ccxt, cryptocompare, cryptofeed, freqtrade, selenium, solana, vyper, websockets, yfinance, pandas, matplotlib, aiohttp, beautifulsoup, tensorflow, selenium, scrapy, colorama, scikit-learn, pytorch, pygame, και pyinstaller.

Για κάθε PyPi πακέτο οι φορείς χρησιμοποιούν από 13-38 διαφορετικές εκδόσεις με τυπογραφικά λάθη ώστε να μπορέσουν να καλύψουν ένα ευρύ φάσμα λαθών πληκτρολόγησης με αποτέλεσμα να εγκατασταθούν τα κακόβουλα πακέτα.

Πρόταση: Κακόβουλα PyPI packages παραβιάζουν μηχανήματα για cryptomining

Αν και το Νοέμβριο του 2022 αυτή η μέθοδος με τους κινέζικους χαρακτήρες δεν υπήρχε, τώρα χρησιμοποιούν ένα τυχαίο 16-bit συνδυασμό από ιδεογραφίες για τις συναρτήσεις και για τα αναγνωριστικά των μεταβλητών.

pypi malicious packages
Source: Phylum

Οι αναλυτές της Phylum ανακάλυψαν πως παρόλο που χρησιμοποιούν μια σειρά από αριθμητικές πράξεις για την παραγωγή των χαρακτήρων και φαίνεται ως ένα δυνατό αποτέλεσμα εικονικά, δεν είναι τόσο δύσκολο στο να το «σπάσεις».

Τα κακόβουλα extension

Με σκοπό να λάβουν τον έλεγχο των συναλλαγών των cryptocurrency τα κακόβουλα PyPi πακέτα δημιουργούν ένα browser extension στον φάκελο %AppData%\Extension, όπως τον Νοέμβριο 2022.

Ψάχνει μετά shortcuts που να έχουν σχέση με το Google Chrome, Microsoft Edge, Brave and Opera και λαμβάνει τον έλεγχο τους ώστε να φορτώσουν το κακόβουλο extension χρησιμοποιώντας την «–load extension’ εντολή στο command line.

Για παράδειγμα “C:\Program Files\Google\Chrome\Application\chrome.exe –load-extension=%AppData%\\Extension” για το Google Chrome.

Όταν, λοιπόν, ανοίξει ένας browser τότε το extension φορτώνει και ένα κακόβουλος κώδικας JavaScipt θα παρακολουθεί για διευθύνσεις cryptocurrency που είναι αντιγραμμένες στο clipboard των Windows.

PyPi python packages κλέβουν crypto μέσω Chrome extensions

Όταν μια διεύθυνση βρεθεί, το extension θα την αντικαταστήσει με ένα σύνολο από κωδικοποιημένες διευθύνσεις υπό τον έλεγχο των hackers. Έτσι ό,τι συναλλαγές γίνονται θα πηγαίνουν κατευθείαν στο πορτοφόλι των ληστών και όχι στον προοριζόμενο παραλήπτη.

Διαβάστε επίσης : Python Package Index (PyPI) και GitLab δέχονται επιθέσεις spam

Για την πλήρη λίστα των κακόβουλων πακέτων που πρέπει να αποφύγετε δείτε στην κάτω ενότητα της αναφοράς του Phylum.

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS