Lebih dari 450 paket python PyPI berbahaya ditemukan memasang ekstensi browser berbahaya untuk membajak transaksi cryptocurrency yang dilakukan melalui dompet dan situs web crypto berbasis browser.
Penemuan ini merupakan kelanjutan dari kampanye yang awalnya diluncurkan pada November 2022, yang awalnya dimulai dengan hanya dua puluh tujuh paket PyPi berbahaya, dan sekarang berkembang pesat selama beberapa bulan terakhir.
Paket-paket ini dipromosikan melalui kampanye kesalahan ketik yang meniru paket-paket populer tetapi dengan sedikit variasi, seperti karakter yang diubah atau ditukar. Tujuannya adalah untuk menipu pengembang perangkat lunak agar mengunduh paket berbahaya ini alih-alih yang sah.
Seperti yang dijelaskan Phylum dalam laporan yang diterbitkan pada hari Jumat, selain meningkatkan kampanye, pelaku ancaman sekarang menggunakan metode kebingungan baru yang melibatkan penggunaan ideograf China dalam fungsi dan nama variabel.
Gelombang typosquat baru
Beberapa paket populer yang ditiru dalam kesalahan ketik saat ini termasuk bitcoinlib, ccxt, cryptocompare, cryptofeed, freqtrade, selenium, solana, vyper, soket web, yfinance, panda, matplotlib, aiohttp, beautifulsoup, tensorflow, selenium, scrapy, colorama, scikit-learn , pytorch, pygame, dan pyinstaller.
Pelaku ancaman menggunakan antara 13 dan 38 versi kesalahan ketik untuk masing-masing di atas, mencoba untuk menutupi berbagai potensi kesalahan ketik yang akan mengakibatkan pengunduhan paket berbahaya.
Untuk menghindari deteksi, pelaku ancaman telah menggunakan metode penyamaran baru yang tidak ada pada gelombang November 2022, sekarang menggunakan kombinasi 16-bit acak dari ideograf China untuk fungsi dan pengidentifikasi variabel.
Sumber: Filum
Analis Phylum menemukan bahwa kode tersebut menggunakan fungsi Python bawaan dan serangkaian operasi aritmatika untuk pembuatan string. Jadi, meskipun kebingungan menciptakan hasil yang kuat secara visual, tidak terlalu sulit untuk dipecahkan.
“Meskipun kebingungan ini menarik dan membangun kode yang terlihat sangat kompleks dan sangat kabur, dari sudut pandang dinamis, ini sepele,” baca Laporan filum.
“Python adalah bahasa yang ditafsirkan, dan kodenya harus berjalan. Kami hanya perlu mengevaluasi kejadian ini, dan ini mengungkapkan dengan tepat apa yang dilakukan kode tersebut.”
Ekstensi browser berbahaya
Untuk membajak transaksi cryptocurrency, paket berbahaya PyPi akan membuat ekstensi browser Chromuim berbahaya di folder ‘%AppData%\Extension’, mirip dengan serangan November 2022.
Itu kemudian mencari pintasan Windows yang terkait dengan Google Chrome, Microsoft Edge, Brave, dan Opera dan membajaknya untuk memuat ekstensi browser berbahaya menggunakan argumen baris perintah ‘–load-extension’.
Misalnya, pintasan Google Chrome akan dibajak ke “C:\Program Files\Google\Chrome\Application\chrome.exe –load-extension=%AppData%\\Extension”.
Saat browser web diluncurkan, ekstensi akan dimuat, dan JavaScript berbahaya akan memantau alamat mata uang kripto yang disalin ke papan klip Windows.
Ketika alamat crypto terdeteksi, ekstensi browser akan menggantinya dengan satu set alamat hardcode di bawah kendali aktor ancaman. Dengan cara ini, setiap jumlah transaksi kripto yang dikirim akan masuk ke dompet pelaku ancaman, bukan ke penerima yang dituju.
Daftar ekspresi reguler yang digunakan untuk mendeteksi alamat cryptocurrency di clipboard Windows dan menggantinya dengan alamat aktor ancaman dapat dilihat di bawah.
Sumber: Filum
Dalam kampanye baru ini, aktor ancaman menambah jumlah dompet yang didukung dan kini telah menambahkan alamat cryptocurrency untuk Bitcoinm Ethereum, TRON, Binance Chain, Litecoin, Ripple, Dash, Bitcoin Cash, dan Cosmos.
Untuk daftar lengkap paket berbahaya yang harus dihindari, periksa bagian bawah Laporan filum.
