En otra señal de que los actores de amenazas siempre están buscando nuevas formas de engañar a los usuarios para que descarguen malware, se explotó una plataforma de preguntas y respuestas (Q&A) conocida como Stack Exchange para apuntar a desarrolladores desprevenidos. Se reveló que estaban dirigiendo a los usuarios a. un paquete Python falso que tenía la capacidad de vaciar billeteras de criptomonedas.
“Una vez instalado, este código ejecuta e inicia automáticamente una serie de eventos que comprometen y toman el control del sistema de la víctima, al mismo tiempo que extraen datos y vacían las billeteras de criptomonedas”, dijeron la investigación de Checkmarks Yehuda Gelb y Tsaki Zornstein en un informe compartido con Hacker. Noticias.
La campaña, que comenzó el 25 de junio de 2024, se dirigió específicamente a los usuarios de criptomonedas asociados con Raydium y Solana. A continuación se muestra una lista de paquetes maliciosos descubiertos como parte de la campaña.
El paquete se ha descargado un total de 2.082 veces. Ya no está disponible para descargar desde el repositorio de Python Package Index (PyPI).
El malware oculto dentro del paquete actúa como un ladrón de información completo, robando una amplia gama de información, incluidas contraseñas de navegadores web, cookies, detalles de tarjetas de crédito, billeteras de criptomonedas e información relacionada con aplicaciones de mensajería como Telegram, Signal y Session. los datos fueron robados.
También incluye la capacidad de realizar capturas de pantalla del sistema y buscar archivos que contengan códigos de recuperación de GitHub y claves de BitLocker. La información recopilada se comprimió y se filtró a dos bots de Telegram diferentes controlados por actores de amenazas.
Además, el componente de puerta trasera presente en el malware le dio al atacante acceso remoto persistente a la máquina de la víctima, abriendo la puerta a una futura explotación y compromiso a largo plazo.
La cadena de ataque abarca múltiples etapas, con el paquete “raydium” enumerando “spl-types” como una dependencia en un intento de ocultar su comportamiento malicioso y dar la impresión de legitimidad a los usuarios.
Un aspecto notable de esta campaña fue fomentar la adopción mediante la publicación de respuestas aparentemente útiles a las preguntas de los desarrolladores relacionadas con la realización de transacciones de intercambio con Python en Raydium que hacen referencia al paquete en cuestión. Está utilizando Stack Exchange como vector de facilitación.
“Los atacantes maximizaron su alcance potencial eligiendo hilos de alto perfil que fueron vistos miles de veces”, dijeron los investigadores, y agregaron que su objetivo era “dar credibilidad a este paquete y garantizar una adopción generalizada”.
Aunque la respuesta ya no existe en Stack Exchange, The Hacker News encontró una referencia a “raydium” en otra pregunta sin respuesta publicada en el sitio de preguntas y respuestas con fecha del 9 de julio de 2024. “He estado luchando durante muchas noches intentando realizar un intercambio en una red Solana que se ejecuta en Python 3.10.2 con Solana, soldaduras y Raydium instalados, pero nada funciona”, dijo el usuario.
La referencia a “raydium-sdk” proviene de “Cómo comprar y vender tokens en Raydium usando Python: una guía de Solana paso a paso” compartida por el usuario SolanaScribe en la plataforma de publicación social Medium el 29 de junio de 2024. También aparece en una publicación titulada “.
Actualmente no está claro cuándo se eliminó el paquete de PyPI, y hace apenas seis días, otros dos usuarios respondieron a la publicación de Medium pidiendo ayuda al autor con la instalación de raydium-sdk. Checkmarx le dijo a Hacker News que la publicación no fue obra de un actor de amenazas.
Esta no es la primera vez que actores maliciosos recurren a este método de distribución de malware. A principios de mayo de este año, Sonatype reveló que un paquete llamado pytoileur se anunciaba a través de otro servicio de preguntas y respuestas, Stack Overflow, y se utilizaba para robar criptomonedas.
Más bien, este desarrollo es evidencia de que los atacantes están aprovechando la confianza en estas plataformas impulsadas por la comunidad para difundir malware y provocar ataques a la cadena de suministro a gran escala.
“Un único desarrollador comprometido puede introducir vulnerabilidades sin darse cuenta en todo el ecosistema de software de una empresa, lo que podría afectar a toda la red corporativa”, dijeron los investigadores. “Este ataque es una llamada de atención para que tanto individuos como organizaciones reevalúen sus estrategias de seguridad”.
Este desarrollo se produce después de que Fortinet FortiGuard Labs publicara detalles de un paquete PyPI malicioso llamado zlibxjson. Este paquete incluye funciones que roban información confidencial, como tokens de Discord, cookies almacenadas en Google Chrome, Mozilla Firefox, Brave y Opera, y contraseñas almacenadas en los navegadores. Esta biblioteca se descargó un total de 602 veces antes de ser eliminada de PyPI.
“Estas acciones pueden conducir al acceso no autorizado a cuentas de usuarios y a la filtración de datos personales, y clasificar este software como claramente malicioso”, afirmó la investigadora de seguridad Jenna Wang.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/08/hackers-distributing-malicious-python.html