Caçadores de ameaças descobriram um conjunto de sete pacotes no repositório Python Package Index (PyPI) que foram criados para roubar frases mnemônicas BIP39 usadas para recuperar chaves privadas de uma carteira de criptomoedas.
A campanha de ataque à cadeia de suprimentos de software foi codinomeada BIPClip pelo ReversingLabs.
Os pacotes foram baixados coletivamente 7.451 vezes antes de serem removidos do PyPI.
A lista de pacotes é a seguinte:
- jsBIP39-decrypt (126 downloads)
- bip39-mnemonic-decrypt (689 downloads)
- mnemonic_to_address (771 downloads)
- erc20-scanner (343 downloads)
- public-address-generator (1,005 downloads)
- hashdecrypt (4,292 downloads)
- hashdecrypts (225 downloads)
BIPClip, que é direcionado a desenvolvedores trabalhando em projetos relacionados à geração e proteção de carteiras de criptomoedas, estará ativo desde pelo menos 4 de dezembro de 2022, quando o hashdecrypt foi publicado pela primeira vez no registro.
"Esta é apenas a mais recente campanha de ataque à cadeia de suprimentos de software que visa ativos cripto", disse o pesquisador de segurança Karlo Zanki em um relatório compartilhado com o The Hacker News.
"Confirma que a criptomoeda continua a ser um dos alvos mais populares para os atores de ameaças à cadeia de suprimentos."
Os pacotes, por sua vez, são projetados para roubar frases mnemônicas e exfiltrar as informações para um servidor controlado pelo ator.
Dois outros pacotes identificados pelo ReversingLabs - public-address-generator e erc20-scanner - funcionam de maneira análoga, com o primeiro agindo como uma isca para transmitir as frases mnemônicas para o mesmo servidor de comando e controle (C2).
Por outro lado, o hashdecrypts funciona de maneira um pouco diferente, pois não foi concebido para funcionar como par e contém em si código quase idêntico para colher os dados.
O pacote, segundo a empresa de segurança da cadeia de suprimentos de software, inclui referências a um perfil do GitHub chamado "HashSnake", que possui um repositório chamado hCrypto que é anunciado como uma maneira de extrair frases mnemônicas de carteiras de cripto usando o pacote hashdecrypts.
Vale a pena salientar que os atores da ameaça por trás da conta HashSnake também têm presença no Telegram e no YouTube para anunciar seus produtos.
Isso inclui o lançamento de um vídeo em 7 de setembro de 2022, apresentando uma ferramenta de verificação de logs de cripto chamada xMultiChecker 2.0.
"O conteúdo de cada um dos pacotes descobertos foi cuidadosamente elaborado para parecer menos suspeito", disse Zanki.
"Eles se concentraram em comprometer carteiras de cripto e roubar as criptomoedas que continham.
Essa ausência de uma agenda e ambições mais amplas tornou menos provável que esta campanha tropeçasse em ferramentas de segurança e monitoramento implantadas em organizações comprometidas."
Os resultados mais uma vez destacam as ameaças de segurança que se escondem dentro dos repositórios de pacotes de código aberto, e isso é agravado pelo fato de serviços legítimos como o GitHub serem usados como um condutor para distribuir malware.
Além disso, projetos abandonados estão se tornando um vetor atraente para os atores de ameaças assumirem o controle das contas de desenvolvedor e publicarem versões trojanizadas que poderiam então abrir caminho para grandes ataques à cadeia de suprimentos.
"Ativos digitais abandonados não são relíquias do passado; eles são bombas-relógio e os agressores têm se aproveitado cada vez mais deles, transformando-os em cavalos de Troia nos ecossistemas de código aberto", observou a Checkmarx no mês passado.
"Os estudos de caso MavenGate e CocoaPods destacam como domínios e subdomínios abandonados poderiam ser sequestrados para enganar os usuários e disseminar intenções maliciosas."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...