(https://i.postimg.cc/dVxX39GC/Python-feature.png) (https://postimages.org/)
Se ha identificado que estos paquetes maliciosos se descargan más de 29 millones de veces al día.
Según los investigadores de seguridad de TI de Phylum, docenas de paquetes maliciosos de Python apuntan a los desarrolladores al reemplazar las direcciones criptográficas en los portapapeles de los desarrolladores.
Los investigadores de Phylum han identificado docenas de paquetes de typosquat, y también se identifica una campaña separada en la que participan varios paquetes más. Esta campaña también está dirigida a los desarrolladores y su criptomoneda.
Lo que es peor, los investigadores han descubierto que estos paquetes maliciosos se descargan más de 29 millones de veces al día.
Modus operandi
Una vez que se instala el paquete, se inicia un archivo JavaScript malicioso en el fondo de una sesión de navegación web en curso. Por lo tanto, cuando un desarrollador en el portapapeles copia una dirección de criptomoneda, se reemplaza con la dirección del atacante.
Hasta el momento, estos paquetes se han descargado más de cien veces. La carga útil de cada paquete malicioso está presente en setup.py. Los atacantes inician la cadena de ataque obteniendo una lista de caminos interesantes. Si el usuario tiene una cuenta de administrador, el atacante agregará una ruta adicional a la lista.
Posteriormente, crearán un director de Extensión en caso de que aún no haya uno. Por último, el atacante escribirá un JavaScript ofuscado en la carpeta $APPDATA\\Extension y un manifest.json en la carpeta $APPDATA\\Extension para solicitar permisos de escritura y lectura del portapapeles.
Lista de paquetes maliciosos
La lista de paquetes se amplía constantemente en esta campaña actualmente activa. En una publicación de blog publicada el 7 de noviembre, el cofundador de Phylum y ex desarrollador de software de la NSA, Louis Lang, compartió la siguiente lista:
baeutifulsoup4
beautifulsup4
cloorama
cryptograpyh
crpytography
djangoo
ipyhton
mail-validator
mariabd
notebok
pillwo
pyautogiu
pygaem
pytorhc
python-dateuti
python-flask
python3-flask
pyyalm
rqeuests
slenium
sqlachemy
sqlalcemy
tkniter
urlllib
hello-world-exampl
hello-world-example
mysql-connector-pyhton
Peligros asociados
Después de eliminar con éxito la carga útil y obtener los permisos necesarios, el atacante puede crear un área de texto en la página y pegar el contenido del portapapeles o usar expresiones regulares para buscar formatos de direcciones de criptomonedas comunes.
Además, pueden reemplazar direcciones identificadas con direcciones controladas por atacantes en el área de texto ya creada. Cuando el desarrollador comprometido copia la dirección de una billetera, el paquete malicioso reemplaza la dirección con una dirección controlada por el atacante, lo que inadvertidamente conduce a la transferencia de fondos a la billetera del atacante.
Sin embargo, a partir de ahora, los fondos no se han transferido a ninguna de las billeteras controladas por el atacante, incluidas las siguientes:
TRX TWStXoQpXzVL8mx1ejiVmkgeUVGjZz8LRx
LTC LPDEYUCna9e5dYaDPYorJBXXgc43tvV9Rq
BNB bnb1cm0pllx3c7e902mta8drjfyn0ypl7ar4ty29uv
BTC bc1qqwkpp77ya9qavyh8sm8e4usad45fwlusg7vs5v
ETH 0x18c36eBd7A5d9C3b88995D6872BCe11a080Bc4d9
Phylum asume que, aunque se han informado sobre los paquetes maliciosos, su número de descargas y el número de paquetes pueden seguir aumentando.
Fuente:
HackRead
https://www.hackread.com/python-developers-malicious-crypto-addresses/