В PyPI нашли 450 пакетов, крадущих крипту с помощью Chromium-плагина

Татьяна Никитина 14 Февраля 2023 - 19:16

...

В PyPI нашли 450 пакетов, крадущих крипту с помощью Chromium-плагина

В ноябре прошлого года эксперты Phylum обнаружили в PyPI три десятка пакетов, устанавливающих в систему расширение браузера для угона криптотранзакций. Очередная проверка показала, что вредоносный ассортимент в рамках данной кампании расширился до 451 позиции, а в список поддерживаемых кошельков добавлены восемь наименований.

Вредоносные пакеты имитируют популярные модули, такие как bitcoinlib, cryptocompare, selenium, solana, vyper, websockets, pyinstaller. В расчете на невнимательность разработчиков софта злоумышленники используют тайпсквоттинг: опускают или удваивают одну букву в исходном имени, меняют местами соседние символы и т. п.

Полезная нагрузка во всех случаях спрятана в файле setup.py. После установки пакета в папке %AppData% создается новое расширение браузера Chromuim, в которое записывается JavaScript. После этого проводится поиск ярлыков Google Chrome, Microsoft Edge, Brave и Opera; при обнаружении таковых к местоположению программы добавляется аргумент командной строки --load-extension и путь к вредоносному JavaScript-плагину.

В результате при каждом старте браузера зловред загружается и ведет мониторинг, отслеживая копирование адресов криптокошельков в буфер обмена. Обнаружив такое действие, клипер производит замену, используя вшитый список кошельков, контролируемых автором атаки.

Исследователи также заметили, что злоумышленники изменили метод обфускации полезной нагрузки. В частности, они стали использовать китайские идеограммы в строках кода; теперь идентификаторы функций и переменных представлены случайной последовательностью из 16 таких знаков. Итог выглядит внушительно, но легко поддается расшифровке.

Несмотря на усилия Phylum и операторов публичного хранилища, данная атака на цепочку поставок продолжает набирать обороты. Пока эксперты готовили запись в блоге, злоумышленники опубликовали еще несколько фальшивок, ворующих крипту (полный список приведен в блог-записи ИБ-компании). На PyPI также не унимаются распространители W4SP, которых впервые поймала за руку та же Phylum.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 09:51

Android Уязвимости программ Домашние пользователи Google

Свежий патч Android 16 оказался на удивление безмятежным

Google начала распространять очередное обновление для Android 16, однако на этот раз в нём не обнаружилось привычного набора патчей. Если заглянуть в официальный список уязвимостей, становится понятно, почему апдейт выглядит таким «спокойным».

Фактически в нём фигурирует лишь один пункт — уязвимость CVE-2026-010, связанная с драйвером VPU и потенциальным повышением привилегий. На фоне январского патча с целым набором исправлений контраст получается заметный.

В целом это скорее хорошая новость: серьёзных дыр, требующих срочного закрытия, в системе сейчас не обнаружено. Тем не менее обновиться всё равно стоит, как минимум ради актуального уровня безопасности.

А вот дальше будет интереснее. Уже в следующем месяце владельцев Pixel ждёт более заметный апдейт с выходом Android 16 QPR3. За последние месяцы Google выпустила несколько бета-версий, в которых тестировались новые функции и изменения, и финальный релиз обещает быть куда более насыщенным.

Особый акцент, судя по тестовым сборкам, сделают не столько на новых возможностях, сколько на производительности и плавности работы. И это как раз тот случай, когда «меньше новшеств — больше комфорта» может оказаться важнее любых визуальных фишек.

До финального релиза осталось совсем немного, и перед ним ожидается ещё как минимум одна бета-версия. Тем, кто любит пробовать новое раньше остальных и не боится экспериментировать, сейчас самое время присмотреться к программе тестирования.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »