В каталоге PyPI исследователи обнаружили более 20 вредоносных пакетов, нацеленных на кражу криптовалюты. Пакеты маскировались под популярные библиотеки.
Всего в PyPI обнаружили 26 пакетов, содержащих в себе вредоносный код для кражи криптовалюты у пользователей. В пакетах содержался файл setup.py с обфусцированным скриптом, изучающим буфер обмена пользователя на факт наличия в нём идентификаторов криптокошельков. Если в буфере обнаруживались подобные данные, то скрипт заменял их на идентификаторы злоумышленника. Атака строилась на том, что пользователь не будет перепроверять скопированный текст, вставит его в поле оплаты и переведёт средства.
За замену данных отвечал код на JavaScript, который встраивался в браузер в виде расширения и запускался для каждой открытой страницы. Злоумышленники написали код под Windows, а атака работала в браузерах Chrome, Edge и Brave. Скрипт подменял данные для кошельков ETH, BTC, BNB, LTC и TRX.
Вредоносные пакеты маскировались под популярные библиотеки с помощью тайпсквоттинга. Злоумышленники рассчитывали, что пользователь опечатается при вводе команды и установит вредоносный пакет. Отмечается, что всего за час после публикации первого пакета его установили более 100 раз, а атака была нацелена на разработчиков.
Список обнаруженных вредоносных пакетов:
baeutifulsoup4;
beautifulsup4;
cloorama;
cryptograpyh;
crpytography;
djangoo;
hello-world-exampl;
hello-world-example;
ipyhton;
mail-validator;
mariabd;
mysql-connector-pyhton;
notebok;
pillwo;
pyautogiu;
pygaem;
pytorhc;
python-dateuti;
python-flask;
python3-flask;
pyyalm;
rqeuests;
slenium;
sqlachemy;
sqlalcemy;
tkniter;
urlllib.
