Os caçadores de ameaças descobriram um conjunto de sete pacotes no repositório Python Bundle Index (PyPI) que são projetados para roubar frases mnemônicas BIP39 usadas para recuperar chaves privadas de uma carteira de criptomoeda.
A campanha de ataque à cadeia de suprimentos de software program recebeu o codinome BIPClip da ReversingLabs. Os pacotes foram baixados coletivamente 7.451 vezes antes de serem removidos do PyPI. A lista de pacotes é a seguinte –
O BIPClip, voltado para desenvolvedores que trabalham em projetos relacionados à geração e proteção de carteiras de criptomoedas, está ativo pelo menos desde 4 de dezembro de 2022, quando o hashdecrypt foi publicado pela primeira vez no registro.
“Esta é apenas a mais recente campanha da cadeia de fornecimento de software program para atingir ativos criptográficos”, disse o pesquisador de segurança Karlo Zanki em um relatório compartilhado com o The Hacker Information. “Isso confirma que a criptomoeda continua a ser um dos alvos mais populares para os atores de ameaças à cadeia de suprimentos.”
Num sinal de que os agentes da ameaça por trás da campanha tiveram o cuidado de evitar a detecção, um dos pacotes em questão – mnemonic_to_address – estava desprovido de qualquer funcionalidade maliciosa, exceto listar bip39-mnemonic-decrypt como sua dependência, que continha o componente malicioso .
“Mesmo que eles tenham optado por olhar as dependências do pacote, o nome do módulo importado e a função invocada são cuidadosamente escolhidos para imitar funções legítimas e não levantar suspeitas, uma vez que as implementações do padrão BIP39 incluem muitas operações criptográficas”, explicou Zanki.
O pacote, por sua vez, foi projetado para roubar frases mnemônicas e exfiltrar as informações para um servidor controlado por um ator.
Dois outros pacotes identificados pelo ReversingLabs – public-address-generator e erc20-scanner – operam de forma análoga, com o primeiro atuando como uma isca para transmitir as frases mnemônicas para o mesmo servidor de comando e controle (C2).
Por outro lado, hashdecrypts funciona de maneira um pouco diferente, pois não foi concebido para funcionar como um par e contém em si um código quase idêntico para coletar os dados.
O pacote, de acordo com a empresa de segurança da cadeia de suprimentos de software program, inclui referências a um perfil do GitHub chamado “HashSnake”, que apresenta um repositório chamado hCrypto que é anunciado como uma forma de extrair frases mnemônicas de carteiras criptografadas usando o pacote hashdecrypts.
Um exame mais detalhado do histórico de commits do repositório revela que a campanha está em andamento há mais de um ano com base no fato de que um dos scripts Python importou anteriormente o pacote hashdecrypt (sem o “s”) em vez de hashdecrypts até 1º de março de 2024, a mesma information em que o hashdecrypts foi carregado no PyPI.
Vale ressaltar que os atores da ameaça por trás da conta HashSnake também estão presentes no Telegram e no YouTube para anunciar seus warez. Isso inclui o lançamento de um vídeo em 7 de setembro de 2022, apresentando uma ferramenta de verificação de registros criptográficos chamada xMultiChecker 2.0.
“O conteúdo de cada um dos pacotes descobertos foi cuidadosamente elaborado para que parecessem menos suspeitos”, disse Zanki.
“Eles estavam focados em comprometer carteiras criptografadas e roubar as moedas criptografadas que elas continham. Essa ausência de uma agenda e ambições mais amplas tornou menos provável que esta campanha atrapalhasse a segurança e as ferramentas de monitoramento implantadas em organizações comprometidas.”
As descobertas mais uma vez sublinham as ameaças à segurança que se escondem nos repositórios de pacotes de código aberto, o que é agravado pelo facto de serviços legítimos como o GitHub serem usados como um canal para distribuir malware.
Além disso, os projetos abandonados estão a tornar-se um vetor atrativo para os agentes de ameaças assumirem o controlo das contas dos programadores e publicarem versões trojanizadas que poderão então abrir caminho a ataques em grande escala à cadeia de abastecimento.
“Os ativos digitais abandonados não são relíquias do passado; eles são bombas-relógio e os invasores têm tirado vantagem deles cada vez mais, transformando-os em cavalos de Tróia dentro dos ecossistemas de código aberto”, observou Checkmarx no mês passado.
“Os estudos de caso MavenGate e CocoaPods destacam como domínios e subdomínios abandonados podem ser sequestrados para enganar os usuários e espalhar intenções maliciosas.”
