En otra señal de que los malos actores siempre están buscando nuevas formas de engañar a los usuarios para que descarguen malware, ha surgido que la plataforma de preguntas y respuestas conocida como Stack Exchange se utilizó de manera abusiva para dirigir a los desarrolladores desprevenidos a falsificar Python. paquetes capaces de vaciar sus billeteras de criptomonedas.
“Una vez instalado, este código se ejecutaría automáticamente, desencadenando una cadena de eventos diseñados para comprometer y controlar los sistemas de la víctima, mientras extraía sus datos y vaciaba sus billeteras de criptomonedas”, dijeron los investigadores Checkmarx Yehuda Gelb y Tzachi Zornstain en un comunicado de prensa. relación compartido con The Hacker News.
La campaña, que comenzó el 25 de junio de 2024, estaba dirigida específicamente a los usuarios de criptomonedas involucrados en Raydium y Solana. La lista de paquetes maliciosos descubiertos durante la actividad se enumera a continuación:
Los paquetes se han descargado colectivamente 2.082 veces. Ya no están disponibles para descargar desde el repositorio de Python Package Index (PyPI).
El malware oculto en el paquete sirvió como un verdadero ladrón de información, lanzando una amplia red de datos que incluyen contraseñas de navegadores web, cookies e información de tarjetas de crédito, billeteras de criptomonedas e información asociada con aplicaciones de mensajería como Telegram, Signal y Session.
También incluye funciones para capturar capturas de pantalla del sistema y buscar archivos que contengan códigos de recuperación de GitHub y claves de BitLocker. Luego, la información recopilada se comprimió y se exfiltró a dos bots de Telegram diferentes administrados por el actor de amenazas.
Además, un componente de puerta trasera en el malware otorgaba al atacante acceso remoto persistente a las máquinas de las víctimas, lo que permitía posibles vulnerabilidades futuras y compromisos a largo plazo.
La cadena de ataque abarca varios pasos, con el paquete “raydium” enumerando “tipos spl” como una dependencia en un intento de ocultar el comportamiento malicioso y hacer que los usuarios piensen que era legítimo.
Un aspecto notable de la campaña es el uso de Stack Exchange como vehículo para impulsar la adopción mediante la publicación de respuestas aparentemente útiles que hacen referencia al paquete en cuestión. preguntas del desarrollador relacionado con la ejecución de transacciones de intercambio en Raydium usando Python.
“Al elegir un hilo con alta visibilidad, que obtuvo miles de visitas, el atacante maximizó su alcance potencial”, dijeron los investigadores, y agregaron que lo hizo para “dar credibilidad a este paquete y garantizar su adopción generalizada”.
Aunque la respuesta ya no existe en Stack Exchange, The Hacker News encontró referencias a “raydium” en otro Pregunta sin contestar publicado en el sitio de preguntas y respuestas con fecha del 9 de julio de 2024: “He estado luchando durante noches para obtener un intercambio en la red Solana que funcione en Python 3.10.2, Solana, Solders y Raydium instalados, pero parece que no puedo hacerlo funcionar. ”, dijo un usuario.
También referencias a “raydium-sdk” emergió en un artículo titulado “Cómo comprar y vender tokens en Raydium usando Python: una guía paso a paso de Solana” que fue compartido por un usuario llamado SolanaScribe en la plataforma de publicación social Medium el 29 de junio de 2024.
Aún no está claro exactamente cuándo se eliminaron los paquetes de PyPI, ya que otros dos usuarios respondieron a la publicación de Medium pidiendo ayuda al autor para instalar “raydium-sdk” hace apenas seis días. Checkmarx le dijo a The Hacker News que el mensaje no era obra del actor de la amenaza.
Esta no es la primera vez que actores malintencionados recurren a un método de distribución de malware de este tipo. A principios de mayo, Sonatype reveló cómo se promovió un paquete llamado pytoileur a través de otro servicio de preguntas y respuestas llamado Stack Overflow para facilitar el robo de criptomonedas.
En todo caso, este desarrollo demuestra que los atacantes están explotando la confianza en estas plataformas comunitarias para difundir malware, lo que lleva a ataques a la cadena de suministro a gran escala.
“Un único desarrollador comprometido puede introducir vulnerabilidades sin darse cuenta en todo el ecosistema de software de una empresa, afectando potencialmente a toda la red de la empresa”, dijeron los investigadores. “Este ataque sirve como una llamada de atención para que individuos y organizaciones reevalúen sus estrategias de seguridad. »
El desarrollo se produce cuando Fortinet FortiGuard Labs detalló un paquete PyPI malicioso llamado zlibxjson que contenía funcionalidad para robar información confidencial, como tokens de Discord, cookies guardadas en Google Chrome, Mozilla Firefox, Brave y Opera, y contraseñas almacenadas en los navegadores. La biblioteca atrajo a un total de 602 descargas antes de que fuera eliminado de PyPI.
“Estas acciones pueden conducir al acceso no autorizado a las cuentas de los usuarios y a la filtración de datos personales, clasificando claramente el software como malicioso”, afirmó la investigadora de seguridad Jenna Wang. dicho.