Um novo conjunto de pacotes maliciosos foi descoberto no repositório Python Package Index (PyPI), mascarando-se como serviços de recuperação e gerenciamento de carteiras de criptomoedas, apenas para desviar dados sensíveis e facilitar o roubo de ativos digitais valiosos.
"O ataque teve como alvo usuários de Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus, e outras carteiras proeminentes no ecossistema cripto", disse o pesquisador da Checkmarx, Yehuda Gelb, em uma análise na terça-feira.
Apresentando-se como utilidades para extrair frases mnemônicas e descriptografar dados de carteira, esses pacotes pareciam oferecer funcionalidades valiosas para usuários de criptomoedas envolvidos na recuperação ou gerenciamento de carteiras.
No entanto, eles escondem funcionalidades para roubar chaves privadas, frases mnemônicas e outros dados sensíveis de carteiras, como históricos de transação ou saldos de carteira.
Cada um dos pacotes atraiu centenas de downloads antes de serem retirados:
- atomicdecoderss (366 downloads)
- trondecoderss (240 downloads)
- phantomdecoderss (449 downloads)
- trustdecoderss (466 downloads)
- exodusdecoderss (422 downloads)
- walletdecoderss (232 downloads)
- ccl-localstoragerss (335 downloads)
- exodushcates (415 downloads)
- cipherbcryptors (450 downloads)
- ccl_leveldbases (407 downloads)
A Checkmarx afirmou que os pacotes foram nomeados de forma deliberada para atrair desenvolvedores trabalhando no ecossistema de criptomoedas.
Em uma tentativa adicional de emprestar legitimidade às bibliotecas, as descrições dos pacotes no PyPI vieram com instruções de instalação, exemplos de uso e, em um caso, até "melhores práticas" para ambientes virtuais.
A decepção não parou por aí, pois o ator de ameaça por trás da campanha também conseguiu exibir estatísticas falsas de download, dando aos usuários a impressão de que os pacotes eram populares e confiáveis.
Seis dos pacotes PyPI identificados incluíam uma dependência chamada cipherbcryptors para executar o malware, enquanto alguns outros dependiam de um pacote adicional chamado ccl_leveldbases em um esforço aparente para obfuscar a funcionalidade.
Um aspecto notável dos pacotes é que a funcionalidade maliciosa é ativada apenas quando certas funções são chamadas, marcando uma diferença do padrão típico onde tal comportamento seria ativado automaticamente após a instalação.
Os dados capturados são então exfiltrados para um servidor remoto.
"O invasor empregou uma camada adicional de segurança ao não codificar de forma fixa o endereço do servidor de comando e controle dentro de nenhum dos pacotes", disse Gelb.
Em vez disso, eles usaram recursos externos para recuperar essa informação dinamicamente. Esta técnica, chamada dead drop resolver, dá aos atacantes a flexibilidade de atualizar as informações do servidor sem precisar distribuir uma atualização para os próprios pacotes.
Isso também facilita o processo de mudança para uma infraestrutura diferente, caso os servidores sejam desativados.
"O ataque explora a confiança nas comunidades de código aberto e a aparente utilidade das ferramentas de gerenciamento de carteiras, afetando potencialmente uma ampla gama de usuários de criptomoedas", disse Gelb.
A complexidade do ataque - de sua embalagem enganosa à suas capacidades maliciosas dinâmicas e uso de dependências maliciosas - destaca a importância de medidas de segurança abrangentes e monitoramento contínuo.
Este desenvolvimento é apenas o mais recente em uma série de campanhas maliciosas visando o setor de criptomoedas, com atores de ameaças constantemente à procura de novas maneiras de drenar fundos das carteiras das vítimas.
Em agosto de 2024, surgiram detalhes de uma sofisticada operação de golpe de criptomoeda apelidada de CryptoCore, que envolve o uso de vídeos falsos ou contas sequestradas em plataformas de mídia social como Facebook, Twitch, X e YouTube para atrair usuários a se separarem de seus ativos de criptomoeda sob o pretexto de lucros rápidos e fáceis.
"Este grupo de golpistas e suas campanhas de doação se aproveitam da tecnologia deepfake, contas sequestradas no YouTube e websites profissionalmente projetados para enganar os usuários a enviarem suas criptomoedas para as carteiras dos golpistas", disse o pesquisador da Avast, Martin Chlumecký.
O método mais comum é convencer uma potencial vítima de que mensagens ou eventos publicados online são comunicações oficiais de uma conta de mídia social confiável ou página de evento, assim aproveitando-se da confiança associada à marca, pessoa ou evento escolhido.
Na semana passada, a Check Point destacou um aplicativo Android malicioso que se passava pelo legítimo protocolo open-source WalletConnect para roubar aproximadamente US$ 70.000 em criptomoeda, iniciando transações fraudulentas a partir de dispositivos infectados.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...