Сотни вредоносных пакетов PyPI сеют хаос в сети
15 февраля 2023 г.Недавняя кампания вредоносного ПО, в которой PyPI использовалась для кражи криптовалюты людей, не только все еще активна, но и значительно расширился за последние три месяца.
Согласно новому отчету исследователей кибербезопасности Phylum, злоумышленники будут создавать вредоносные Python и загрузить их в PyPI, крупнейший репозиторий кода для языка программирования.
Разработчики загружали эти пакеты, чтобы ускорить процесс разработки, эффективно скомпрометировав себя и всех, кто использует их продукты.
Типосквоттинг PyPl
Субъекты угрозы прибегают к опечатке — методу, при котором вредоносный пакет имеет имя, почти идентичное имени легитимного пакета, с разницей всего в одной букве или символе. Таким образом, разработчики, которые неправильно набирают имя при поиске определенных пакетов, могут в конечном итоге неосознанно заразить свои продукты. Кроме того, если они будут искать пакеты и найдут несколько пакетов с похожими именами, у них может не хватить времени или терпения для их тщательного анализа.
Когда эта кампания была впервые обнаружена в 2022 году, исследователи обнаружили ровно 27 пакетов, но сейчас это число увеличилось до 451. Злоумышленники выдавали себя за некоторые из наиболее популярных пакетов, каждый из которых имел от 13 и 38 версии с опечатками.
> Обнаружено больше пакетов PyPI, крадущих данные
> Вредоносные пакеты PyPi превращают Discord в вредоносное ПО для кражи паролей
> Познакомьтесь с лучшей защитой от программ-вымогателей< /a>
Криптовалюта тех, кто загрузит вредоносный пакет, может быть украдена. Вредоносная программа устанавливала дополнения к некоторым из самых популярных браузеров (Chrome, Edge, Brave, Opera), которые будет отслеживать буфер обмена для криптовалютных адресов. Если он обнаружит один, он заменит его другим адресом, который жестко закодирован в дополнении во время вставки.
Идея состоит в том, что люди не запоминают криптокошельки, а копируют/вставляют их при отправке средств. . Адреса кошельков представляют собой длинную строку случайных символов, поэтому запомнить ее практически невозможно. Это также означает, что при копировании и вставке адрес может быть относительно легко заменен, и жертва ничего не заметит (если только она не проверит оба адреса, чтобы убедиться, что они идентичны, что является рекомендуемой передовой практикой).
Неосторожные пользователи могут легко потерять все свои криптовалюты в результате транзакции, которую нельзя будет отменить (если только она не была отправлена третьей стороне, например на биржу, что крайне маловероятно).
- Это лучшие инструменты для защиты конечных точек на данный момент.
Через: BleepingComputer
Оригинал