Cryptocurrency falling

450 を超える悪意のある PyPI Python パッケージが、悪意のあるブラウザー拡張機能をインストールして、ブラウザーベースの暗号ウォレットおよび Web サイトを介して行われた暗号通貨トランザクションをハイジャックすることが判明しました。

この発見は、2022 年 11 月に最初に開始されたキャンペーンの続きであり、最初はわずか 27 個の悪意のある PyPi パッケージで開始され、現在では過去数か月で大幅に拡大しています。

これらのパッケージは、人気のあるパッケージを偽装するタイポスクワッティング キャンペーンを通じて宣伝されていますが、キャラクターの変更や交換などのわずかなバリエーションがあります。目的は、ソフトウェア開発者をだまして、正当なパッケージではなく、これらの悪意のあるパッケージをダウンロードさせることです。

金曜日に公開されたレポートで Phylum が説明しているように、攻撃者は現在、キャンペーンを拡大するだけでなく、関数名と変数名に中国語の表意文字を使用するという新しい難読化手法を利用しています。

新しいタイポスクワッティングの波

現在のタイポスクワッティングで偽装されている人気のあるパッケージには、bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、colorama、scikit-learn などがあります。 、pytorch、pygame、および pyinstaller。

脅威アクターは、上記のそれぞれに対して 13 ~ 38 のタイポスクワッティング バージョンを使用して、悪意のあるパッケージのダウンロードにつながる可能性のあるさまざまなミスタイプをカバーしようとします。

脅威アクターは、検出を回避するために、2022 年 11 月のウェーブにはなかった新しい難読化手法を採用しました。現在は、関数と変数の識別子に中国語の表意文字のランダムな 16 ビットの組み合わせを使用しています。

コード内の中国語の表意文字
コード内の中国語の表意文字
出典:門

Phylum のアナリストは、コードが組み込みの Python 関数と一連の算術演算を使用して文字列を生成していることを発見しました。したがって、難読化によって視覚的に強力な結果が作成されますが、解読するのはそれほど難しくありません。

「この難読化は興味深いものであり、非常に複雑で非常に難読化されたように見えるコードを構築しますが、動的な観点からは、これは些細なことです」とPhylum のレポートを読んでください。

「Python は解釈された言語であり、コードを実行する必要があります。これらのインスタンスを評価するだけで、コードが何をしているかが正確に明らかになります。」

悪意のあるブラウザ拡張機能

悪意のある PyPi パッケージは、暗号通貨トランザクションを乗っ取るために、2022 年 11 月の攻撃と同様に、「%AppData%Extension」フォルダーに悪意のある Chromuim ブラウザー拡張機能を作成します。

次に、Google Chrome、Microsoft Edge、Brave、Opera に関連する Windows ショートカットを検索し、それらをハイジャックして、「–load-extension」コマンド ライン引数を使用して悪意のあるブラウザ拡張機能をロードします。

たとえば、Google Chrome のショートカットは「C:Program FilesGoogleChromeApplicationchrome.exe –load-extension=%AppData%Extension」に乗っ取られます。

Web ブラウザーが起動されると、拡張機能が読み込まれ、悪意のある JavaScript が Windows クリップボードにコピーされた暗号通貨アドレスを監視します。

暗号アドレスが検出されると、ブラウザー拡張機能は、攻撃者の制御下にあるハードコードされた一連のアドレスに置き換えます。このようにして、送信された暗号トランザクションの金額は、意図した受信者ではなく攻撃者のウォレットに送られます。

Windows クリップボード内の暗号通貨アドレスを検出し、攻撃者のアドレスに置き換えるために使用される正規表現のリストを以下に示します。

暗号通貨トランザクションをハイジャックするブラウザ拡張スクリプト
暗号通貨トランザクションをハイジャックするブラウザ拡張スクリプト
出典:門

この新しいキャンペーンでは、脅威アクターはサポートされるウォレットの数を拡張し、Bitcoinm Ethereum、TRON、Binance Chain、Litecoin、Ripple、Dash、Bitcoin Cash、および Cosmos の暗号通貨アドレスを追加しました。

回避すべき悪意のあるパッケージの完全なリストについては、 Phylum のレポートの下部セクションを確認してください。