خبرکاو:

یک کمپین بدافزار اخیر که از PyPI برای سرقت ارزهای دیجیتال مردم استفاده کرده است، نه تنها هنوز فعال است، بلکه در سه ماه گذشته به طور قابل توجهی گسترش یافته است.

طبق گزارش جدیدی از محققان امنیت سایبری Phylum، عوامل تهدید بسته های مخرب پایتون را ایجاد کرده و آنها را در PyPI، بزرگترین مخزن کد زبان برنامه نویسی، آپلود می کنند.

سپس توسعه‌دهندگان (در تب جدید باز می‌شود) این بسته‌ها را دانلود می‌کنند تا روند توسعه را تسریع کنند و عملاً خودشان و همه کسانی که از محصولاتشان استفاده می‌کنند به خطر بیاندازند.

PyPl typosquatting

بازیگران تهدید درگیر تایپسکوت می‌شوند - تکنیکی که در آن بسته مخرب نامی تقریباً یکسان با یک بسته قانونی دارد، با تفاوت فقط در یک حرف یا نماد. به این ترتیب، توسعه دهندگانی که هنگام جستجوی بسته‌های خاص، نام را اشتباه تایپ می‌کنند، ممکن است ناآگاهانه محصولات خود را آلوده کنند. علاوه بر این، اگر آنها بسته ها را جستجو کنند و چندین بسته با نام های مشابه پیدا کنند، ممکن است وقت یا حوصله تجزیه و تحلیل کامل آنها را نداشته باشند.

هنگامی که این کمپین برای اولین بار در سال 2022 مشاهده شد، محققان دقیقاً 27 بسته را پیدا کردند - اما این تعداد اکنون به 451 افزایش یافته است. بازیگران تهدید برخی از بسته‌های محبوب‌تر را جعل می‌کنند که هر کدام بین 13 تا 38 نسخه تایپی‌دار دارند.

کسانی که این بسته مخرب را دانلود می کنند ممکن است در نهایت ارز دیجیتال آنها به سرقت رفته باشد. این بدافزار افزونه‌ای را برای برخی از محبوب‌ترین مرورگرها (Chrome، Edge، Brave، Opera) نصب می‌کند که بر روی کلیپ‌بورد برای آدرس‌های ارزهای دیجیتال نظارت می‌کنند. اگر یک مورد را پیدا کرد، آن را با آدرس دیگری جایگزین می‌کند که در حین چسباندن به افزونه کدگذاری شده است.

ایده این است که مردم کیف پول های رمزنگاری شده را حفظ نمی کنند، بلکه آنها را هنگام ارسال وجوه کپی/پیست می کنند. آدرس های کیف پول رشته ای طولانی از کاراکترهای تصادفی هستند که به خاطر سپردن یکی از آنها عملا غیرممکن است. همچنین به این معنی است که هنگام کپی و چسباندن یکی، آدرس را می توان به راحتی عوض کرد، بدون اینکه قربانی متوجه چیزی شود (مگر اینکه هر دو آدرس را تحلیل کند تا مطمئن شود که یکسان هستند، که بهترین روش توصیه می شود).

کاربرانی که مراقب نباشند می توانند به راحتی تمام رمزارزهای خود را در تراکنشی که قابل برگشت نیست از دست بدهند (مگر اینکه برای شخص ثالثی مانند صرافی ارسال شده باشد که بسیار بعید است).

از طریق: BleepingComputer (در برگه جدید باز می شود)