Ancora una volta i pacchetti PyPI (Python Package Index) sono stati utilizzati per eseguire attività illecite. I ricercatori di Phylum hanno scoperto oltre 451 pacchetti che installano un’estensione per Chrome in grado di intercettare l’indirizzo dei wallet di criptovalute. I cybercriminali possono così rubare le monete digitali delle ignare vittime.
Typosquatting e furto di criptovalute
Il trucco usato dai cybercriminali è quello noto come typosquatting. Solitamente viene sfruttato per mostrare indirizzi di siti web simili all’originale. In questo caso, gli sviluppatori vengono ingannati con nomi leggermente modificati dei pacchetti Python. La campagna è iniziata a novembre con circa 20 pacchetti caricati su PyPI. Da alcuni giorni il numero è decisamente aumentato. I ricercatori di Phylum ne hanno contati almeno 451.
Per offuscare il codice sono state utilizzate combinazioni casuali di caratteri cinesi. Nei pacchetti Python è stato nascosto il codice JavaScript di un’estensione per Chrome che viene caricata automaticamente all’avvio del browser (anche Edge, Brave e Opera, in quanto basati su Chromium).
L’estensione monitora la clipboard (appunti) di Windows per intercettare gli indirizzi dei wallet di criptovalute. Quando viene rilevato un indirizzo, l’estensione lo sostituisce con quello del wallet gestito dai cybercriminali. La nuova versione del codice può individuare i wallet delle principali criptovalute, tra cui Bitcoin, Ethereum e Litecoin.