Mais 450 módulos maliciosos são encontrados no repositório PyPI
Após a instalação, uma extensão JavaScript é carregada toda a vez que um navegador é aberto, monitorando a área de transferência por endereços de carteiras de criptomoedas e as substituindo por uma pertencente ao invasor.
O último lote de módulos maliciosos se aproveita de erros de digitação que os desenvolvedores cometem ao tentar baixar um desses módulos legítimos, muitos deles relacionados a cripto/finanças e desenvolvimento web:
- bitcoinlib
- ccxt
- cryptocompare
- cryptofeed
- freqtrade
- selenium
- solana
- vyper
- websockets
- yfinance
- pandas
- matplotlib
- aiohttp
- beautifulsoup
- tensorflow
- selenium
- scrapy
- colorama
- scikit-learn
- pytorch
- pygame
- pyinstaller
O invasor aumentou o número de módulos neste ataque ao tentar registrar o mesmo código em todas as variações possíveis de erros de digitação. No caso do vyper, por exemplo, foram registrados 13 módulos, quase simultaneamente:
Exclusão de um único caractere:
- yper
- vper
- vyer
- vype
Duplicação de um único caractere:
- vvyper
- vyyper
- vypper
- vypeer
- vyperr
Transposição de dois caracteres:
- yvper
- vpyer
- vyepr
- vypre