Executando verificação de segurança...
2
NewsletterOficial
1 min de leitura ·

Mais 450 módulos maliciosos são encontrados no repositório PyPI

Após a instalação, uma extensão JavaScript é carregada toda a vez que um navegador é aberto, monitorando a área de transferência por endereços de carteiras de criptomoedas e as substituindo por uma pertencente ao invasor.

O último lote de módulos maliciosos se aproveita de erros de digitação que os desenvolvedores cometem ao tentar baixar um desses módulos legítimos, muitos deles relacionados a cripto/finanças e desenvolvimento web:

  • bitcoinlib
  • ccxt
  • cryptocompare
  • cryptofeed
  • freqtrade
  • selenium
  • solana
  • vyper
  • websockets
  • yfinance
  • pandas
  • matplotlib
  • aiohttp
  • beautifulsoup
  • tensorflow
  • selenium
  • scrapy
  • colorama
  • scikit-learn
  • pytorch
  • pygame
  • pyinstaller

O invasor aumentou o número de módulos neste ataque ao tentar registrar o mesmo código em todas as variações possíveis de erros de digitação. No caso do vyper, por exemplo, foram registrados 13 módulos, quase simultaneamente:

Exclusão de um único caractere:

  • yper
  • vper
  • vyer
  • vype

Duplicação de um único caractere:

  • vvyper
  • vyyper
  • vypper
  • vypeer
  • vyperr

Transposição de dois caracteres:

  • yvper
  • vpyer
  • vyepr
  • vypre

Fonte: https://blog.phylum.io/phylum-discovers-revived-crypto-wallet-address-replacement-attack

Carregando publicação patrocinada...
2
pontadesign

Fiquei com uma dúvida, ali disse "cometem ao tentar baixar um desses módulos legítimos"... Recentemente baixei os modulos selenium, beautifulsoup e pygame. Os legítimos estão OK né? Seria variações desses módulos escritos errado?

2