Niedawna kampania złośliwego oprogramowania, która wykorzystywała PyPI do kradzieży kryptowalut, nie tylko jest nadal aktywna, ale znacznie się rozszerzyła w ciągu ostatnich trzech miesięcy.
Według nowego raportu badaczy cyberbezpieczeństwa Phylum, hakerzy stworzyli złośliwe pakiety Pythona i przesyłali je do PyPI, największego repozytorium kodu tego języka programowania. Programiści pobieraliby następnie te pakiety, aby przyspieszyć proces deweloperski, skutecznie narażając siebie i wszystkich, którzy korzystają z ich produktów.
Cyber przestępcy wykorzystują typosquatting – technikę, w której złośliwy pakiet ma nazwę niemal identyczną jak legalny pakiet, przy czym różnica polega tylko na jednej literze lub symbolu. W ten sposób deweloperzy, którzy błędnie wpiszą nazwę, szukając określonych pakietów, mogliby w końcu nieświadomie zainfekować swoje produkty. Co więcej, gdyby szukali pakietów i natrafili na wiele o podobnych nazwach, mogliby nie mieć czasu lub cierpliwości, aby je dokładnie przeanalizować.
Gdy kampania ta została po raz pierwszy zauważona w 2022 r., badacze znaleźli dokładnie 27 pakietów, jednak obecnie liczba ta wzrosła do 451. Hakerzy podszywali się pod niektóre z bardziej popularnych pakietów, z których każdy miał od 13 do 38 wersji.
Osoby, które pobiorą złośliwy pakiet, mogą skończyć z kradzieżą swojej kryptowaluty. Złośliwe oprogramowanie instalowało dodatek do niektórych najpopularniejszych przeglądarek (Chrome, Edge, Brave, Opera), który monitorowałby schowek w poszukiwaniu adresów kryptowalut. Jeśli zauważy jeden z nich, zastępowałby go innym adresem, który jest hardcodowany do dodatku podczas wklejania.
Chodzi o to, że ludzie nie zapamiętują portfeli kryptowalut, a raczej kopiują/wklejają je podczas wysyłania środków. Adresy portfeli to długi ciąg losowych znaków, przez co zapamiętanie jednego jest praktycznie niemożliwe. Oznacza to również, że podczas kopiowania i wklejania adres może być stosunkowo łatwo podmieniony, bez zauważenia przez ofiarę (chyba że sprawdzą oba adresy, aby upewnić się, że są identyczne, co jest zalecaną najlepszą praktyką).
Użytkownicy, którzy nie są ostrożni, mogą łatwo doprowadzić do utraty wszystkich swoich kryptowalut w transakcji, której nie można odwrócić.
