Um novo conjunto de pacotes maliciosos foi descoberto no repositório Python Package deal Index (PyPI) que se disfarçava como serviços de recuperação e gerenciamento de carteiras de criptomoedas, apenas para desviar dados confidenciais e facilitar o roubo de ativos digitais valiosos.
“O ataque teve como alvo usuários de Atomic, Belief Pockets, Metamask, Ronin, TronLink, Exodus e outras carteiras proeminentes no ecossistema criptográfico”, disse Yehuda Gelb, pesquisador da Checkmarx, em uma análise de terça-feira.
“Apresentando-se como utilitários para extrair frases mnemônicas e descriptografar dados de carteiras, esses pacotes pareciam oferecer funcionalidades valiosas para usuários de criptomoedas envolvidos na recuperação ou gerenciamento de carteiras.”
No entanto, eles possuem funcionalidade para roubar chaves privadas, frases mnemônicas e outros dados confidenciais de carteiras, como históricos de transações ou saldos de carteiras. Cada um dos pacotes atraiu centenas de downloads antes de serem retirados –
Checkmarx disse que os pacotes foram nomeados assim em uma tentativa deliberada de atrair desenvolvedores que trabalham no ecossistema de criptomoedas. Numa tentativa adicional de dar legitimidade às bibliotecas, as descrições dos pacotes no PyPI vieram com instruções de instalação, exemplos de uso e, em um caso, até “melhores práticas” para ambientes virtuais.
O engano não parou por aí, pois o agente da ameaça por trás da campanha também conseguiu exibir estatísticas falsas de obtain, dando aos usuários a impressão de que os pacotes eram populares e confiáveis.
Seis dos pacotes PyPI identificados incluíam uma dependência chamada cipherbcryptors para executar o malicioso, enquanto alguns outros dependiam de um pacote adicional chamado ccl_leveldbases em um aparente esforço para ofuscar a funcionalidade.
Um aspecto notável dos pacotes é que a funcionalidade maliciosa é acionada apenas quando determinadas funções são chamadas, marcando uma dentadura do padrão típico onde tal comportamento seria ativado automaticamente na instalação. Os dados capturados são então exfiltrados para um servidor remoto.
“O invasor empregou uma camada adicional de segurança ao não codificar o endereço de seu servidor de comando e controle em nenhum dos pacotes”, disse Gelb. “Em vez disso, eles usaram recursos externos para recuperar essas informações de forma dinâmica.”
Essa técnica, chamada useless drop resolvedor, dá aos invasores a flexibilidade de atualizar as informações do servidor sem ter que enviar uma atualização para os próprios pacotes. Também facilita o processo de mudança para uma infraestrutura diferente caso os servidores sejam desativados.
“O ataque explora a confiança nas comunidades de código aberto e a aparente utilidade das ferramentas de gerenciamento de carteiras, afetando potencialmente um amplo espectro de usuários de criptomoedas”, disse Gelb.
“A complexidade do ataque – desde o seu pacote enganoso até às suas capacidades maliciosas dinâmicas e utilização de dependências maliciosas – destaca a importância de medidas de segurança abrangentes e monitorização contínua.”
O desenvolvimento é apenas o mais recente de uma série de campanhas maliciosas direcionadas ao setor de criptomoedas, com os agentes de ameaças constantemente em busca de novas maneiras de drenar fundos das carteiras das vítimas.
Em agosto de 2024, surgiram detalhes de uma sofisticada operação fraudulenta de criptomoeda chamada CryptoCore, que envolve o uso de vídeos falsos ou contas sequestradas em plataformas de mídia social como Fb, Twitch, X e YouTube para atrair os usuários a se desfazerem de seus ativos de criptomoeda sob o pretexto de uma ação rápida e lucros fáceis.
“Este grupo fraudulento e suas campanhas de brindes aproveitam a tecnologia deepfake, contas sequestradas do YouTube e websites projetados profissionalmente para enganar os usuários e fazê-los enviar suas criptomoedas para as carteiras dos golpistas”, disse o pesquisador da Avast, Martin Chlumecký.
“O método mais comum é convencer uma vítima em potencial de que as mensagens ou eventos publicados on-line são comunicações oficiais de uma conta de mídia social ou página de evento confiável, aproveitando assim a confiança associada à marca, pessoa ou evento escolhido.”
Então, na semana passada, a Examine Level lançou luz sobre um aplicativo Android desonesto que personificou o protocolo de código aberto legítimo WalletConnect para roubar aproximadamente US$ 70.000 em criptomoedas, iniciando transações fraudulentas de dispositivos infectados.