חבילות פייתון זדוניות גונבות נתונים חיוניים

מומחים הזהירו כי מספר חבילות תוכנה במאגר Python Package Index (PyPI) נמצאו כזדוניות, וסביר להניח שפגעו באלפי מכשירים.

חוקרי אבטחת סייבר ב-ReversingLabs מצאו שתי חבילות זדוניות, "bitcoinlibdbfix" ו-"bitcoinlib-dev", אשר יחד הורדו כ-2,000 פעמים.

הן טוענות שמדובר בתיקון למודול Python לגיטימי בשם "bitcoinlib", המכיל תכונות ליצירה וניהול של ארנקי קריפטו.

חנויות WooCommerce גם הן תחת מתקפה

לאחרונה, הקהילה דנה בבעיה הקשורה לאופן שבו החבילה מייצרת הודעות שגיאה.

הנוכלים ראו בכך הזדמנות, יצרו את שתי החבילות הזדוניות וקפצו לשיחה בניסיון להפיץ אותן. נראה שזה לא עבד: "התוכן הזדוני של ספרייה זו זוהה על ידי תורמי החבילה והתגובות נמחקו", אמרו ReversingLabs.

שתי הספריות ניסו מתקפה דומה, הסבירו החוקרים עוד. הרעיון היה להחליף את הפקודה הלגיטימית 'clw cli' בקוד זדוני, ולחלץ קבצי מסד נתונים רגישים.

במקביל, חוקרים מ-Socket מצאו חבילה שלישית, שאינה מכוונת למפתחי ביטקוין, אלא לחנויות WooCommerce. יתר על כן, חבילה זו אפילו לא מנסה להסתיר את כוונותיה האמיתיות, ובמקום זאת היא "זדונית בגלוי". למרות היותה ברורה מאליה, היא עדיין הצליחה לגרוף 37,217 הורדות.

התוכנה הזדונית נקראת "disgrasya" ופועלת כסקריפט carding אוטומטי לחלוטין. "המטען הזדוני הוצג בגרסה 7.36.9, וכל הגרסאות הבאות נשאו את אותה לוגיקת התקפה משובצת", אמרו Socket.

Carding הוא סוג של פשעי סייבר שבה פרטי כרטיס אשראי גנוב משמשים לביצוע רכישות לא מורשות או לבדיקה אם הכרטיס עדיין פעיל. מכיוון שפושעים קונים לעתים קרובות את פרטי הכרטיס הללו מהרשת האפלה, מי שבנה והפיץ את הדיסגרסיה היה יכול להרוויח מכך רבות.