Hơn 450 gói python PyPI độc hại đã được phát hiện cài đặt các tiện ích mở rộng trình duyệt độc hại để chiếm quyền điều khiển các giao dịch tiền điện tử được thực hiện thông qua các trang web và ví tiền điện tử dựa trên trình duyệt.
Khám phá này là phần tiếp theo của một chiến dịch ban đầu được khởi chạy vào tháng 11 năm 2022, ban đầu chỉ bắt đầu với 27 gói PyPi độc hại và hiện đang mở rộng đáng kể trong vài tháng qua.
Các gói này đang được quảng cáo thông qua một chiến dịch đánh máy mạo danh các gói phổ biến nhưng có các biến thể nhỏ, chẳng hạn như ký tự bị thay đổi hoặc hoán đổi. Mục đích là để đánh lừa các nhà phát triển phần mềm tải xuống các gói độc hại này thay vì các gói hợp pháp.
Như Phylum giải thích trong một báo cáo được công bố vào thứ Sáu, ngoài việc mở rộng quy mô chiến dịch, các tác nhân đe dọa hiện sử dụng một phương pháp che giấu mới liên quan đến việc sử dụng các chữ tượng hình Trung Quốc trong tên hàm và tên biến.
Một số gói phổ biến được mạo danh trong quá trình đánh máy hiện tại bao gồm bitcoinlib, ccxt, cryptocompare, cryptofeed, freqtrade, selenium, solana, vyper, websockets, yfinance, pandas, matplotlib, aiohttp, beautifulsoup, tensorflow, selenium, scrapy, colorama, scikit-learning , pytorch, pygame và pyinstaller.
Các tác nhân đe dọa sử dụng từ 13 đến 38 phiên bản đánh máy cho từng loại ở trên, cố gắng che đậy một loạt các lỗi đánh máy tiềm ẩn có thể dẫn đến việc tải xuống gói độc hại.
Để tránh bị phát hiện, những kẻ đe dọa đã sử dụng một phương pháp che giấu mới không có trong làn sóng tháng 11 năm 2022, hiện đang sử dụng tổ hợp 16-bit ngẫu nhiên của các chữ tượng hình Trung Quốc cho chức năng và số nhận dạng biến.
Chữ tượng hình Trung Quốc trong mã
Các nhà phân tích của Phylum đã phát hiện ra rằng mã này sử dụng các hàm Python tích hợp sẵn và một loạt phép tính số học để tạo chuỗi. Vì vậy, trong khi che giấu tạo ra một kết quả rõ ràng về mặt hình ảnh, nó không khó để phá vỡ.
Báo cáo của Phylum cho biết: “Mặc dù việc làm rối mã này rất thú vị và xây dựng mã trông cực kỳ phức tạp và có độ khó hiểu cao, nhưng từ quan điểm động, điều này là không đáng kể” .
"Python là một ngôn ngữ được thông dịch và mã phải chạy. Chúng tôi chỉ cần đánh giá các phiên bản này và nó cho biết chính xác mã đang làm gì."
Để chiếm đoạt các giao dịch tiền điện tử, các gói PyPi độc hại sẽ tạo tiện ích mở rộng trình duyệt Chromuim độc hại trong thư mục '%AppData%\Extension', tương tự như các cuộc tấn công vào tháng 11 năm 2022.
Sau đó, nó tìm kiếm các phím tắt Windows liên quan đến Google Chrome, Microsoft Edge, Brave và Opera và chiếm quyền điều khiển chúng để tải tiện ích mở rộng trình duyệt độc hại bằng cách sử dụng đối số dòng lệnh '--load-extension'.
Ví dụ: lối tắt Google Chrome sẽ bị tấn công thành "C:\ProgramFiles\Google\Chrome\Application\chrome.exe --load-extension=%AppData%\\Extension".
Khi trình duyệt web được khởi chạy, tiện ích mở rộng sẽ tải và JavaScript độc hại sẽ theo dõi các địa chỉ tiền điện tử được sao chép vào khay nhớ tạm của Windows.
Khi một địa chỉ tiền điện tử được phát hiện, tiện ích mở rộng trình duyệt sẽ thay thế địa chỉ đó bằng một tập hợp các địa chỉ được mã hóa cứng dưới sự kiểm soát của tác nhân đe dọa. Bằng cách này, mọi số tiền giao dịch tiền điện tử đã gửi sẽ được chuyển đến ví của tác nhân đe dọa thay vì người nhận dự định.
Bạn có thể xem danh sách các biểu thức chính quy được sử dụng để phát hiện các địa chỉ tiền điện tử trong khay nhớ tạm của Windows và thay thế chúng bằng địa chỉ của tác nhân đe dọa bên dưới.
Tập lệnh mở rộng trình duyệt để chiếm quyền điều khiển giao dịch tiền điện tử
Trong chiến dịch mới này, kẻ đe dọa đã mở rộng số lượng ví được hỗ trợ và hiện đã thêm địa chỉ tiền điện tử cho Bitcoinm Ethereum, TRON, Binance Chain, Litecoin, Ripple, Dash, Bitcoin Cash và Cosmos.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.