Los cazadores de amenazas han descubierto un conjunto de siete paquetes en el repositorio Python Package Index (PyPI) que están diseñados para robar Frases mnemotécnicas BIP39 utilizado para recuperar claves privadas de una billetera de criptomonedas.
ReversingLabs ha denominado a la campaña de ataque a la cadena de suministro de software el nombre en código BIPClip. Los paquetes se descargaron colectivamente 7451 veces antes de ser eliminados de PyPI. La lista de paquetes es la siguiente:
Se dice que BIPClip, que está dirigido a desarrolladores que trabajan en proyectos relacionados con la generación y seguridad de billeteras de criptomonedas, está activo desde al menos el 4 de diciembre de 2022, cuando hashdecrypt se publicó por primera vez en el registro.
«Esta es sólo la última campaña de la cadena de suministro de software dirigida a los criptoactivos», dijo el investigador de seguridad Karlo Zanki. dicho en un informe compartido con The Hacker News. «Confirma que las criptomonedas siguen siendo uno de los objetivos más populares para los actores que amenazan la cadena de suministro».
En una señal de que los actores de amenazas detrás de la campaña tuvieron cuidado de evitar la detección, uno de los paquetes en cuestión, mnemonic_to_address, carecía de cualquier funcionalidad maliciosa, salvo que incluyera bip39-mnemonic-decrypt como su dependencia, que contenía el componente malicioso. .
«Incluso si optaron por observar las dependencias del paquete, el nombre del módulo importado y la función invocada se eligen cuidadosamente para imitar funciones legítimas y no levantar sospechas, ya que las implementaciones del estándar BIP39 incluyen muchas operaciones criptográficas», explicó Zanki.
El paquete, por su parte, está diseñado para robar frases mnemotécnicas y exfiltrar la información a un servidor controlado por el actor.
Otros dos paquetes identificados por ReversingLabs (generador de direcciones públicas y escáner erc20) funcionan de manera análoga, y el primero actúa como un señuelo para transmitir las frases mnemotécnicas al mismo servidor de comando y control (C2).
Por otro lado, hashdecrypts funciona de manera un poco diferente en el sentido de que no está concebido para funcionar en pareja y contiene en su interior un código casi idéntico para recopilar los datos.
El paquete, según la empresa de seguridad de la cadena de suministro de software, incluye referencias a un perfil de GitHub llamado «HashSnake», que cuenta con un repositorio llamado hCrypto que se anuncia como una forma de extraer frases mnemotécnicas de billeteras criptográficas utilizando el paquete hashdecrypts.
Un examen más detenido del repositorio cometer historial revela que la campaña ha estado en marcha durante más de un año basándose en el hecho de que uno de los scripts de Python importó previamente el paquete hashdecrypt (sin la «s») en lugar de hashdecrypts hasta el 1 de marzo de 2024, la misma fecha en que se cargó hashdecrypts en PyPI. .
Vale la pena señalar que los actores de amenazas detrás de la cuenta HashSnake también tienen presencia en Telegrama y YouTube para anunciar su warez. Esto incluye lanzando un vídeo el 7 de septiembre de 2022, que muestra una herramienta de verificación de registros criptográficos denominada xMultiChecker 2.0.
«El contenido de cada uno de los paquetes descubiertos fue cuidadosamente elaborado para que parecieran menos sospechosos», dijo Zanki.
«Estaban enfocados en comprometer billeteras criptográficas y robar las criptomonedas que contenían. Esa ausencia de una agenda y ambiciones más amplias hizo que fuera menos probable que esta campaña hiciera tropezar las herramientas de seguridad y monitoreo implementadas dentro de las organizaciones comprometidas».
Los hallazgos subrayan una vez más las amenazas a la seguridad que acechan dentro de los repositorios de paquetes de código abierto, lo que se ve exacerbado por el hecho de que servicios legítimos como GitHub se utilizan como conducto para distribuir malware.
Además, los proyectos abandonados se están convirtiendo en un vector atractivo para que los actores de amenazas tomen el control de las cuentas de los desarrolladores y publiquen versiones troyanizadas que luego podrían allanar el camino para ataques a la cadena de suministro a gran escala.
«Los activos digitales abandonados no son reliquias del pasado; son bombas de tiempo y los atacantes se han aprovechado cada vez más de ellos, transformándolos en caballos de Troya dentro de los ecosistemas de código abierto», Checkmarx anotado el mes pasado.
«MavenGate y CacaoPods Los estudios de caso destacan cómo los dominios y subdominios abandonados podrían ser secuestrados para engañar a los usuarios y difundir intenciones maliciosas».