Investigadores de ciberseguridad han descubierto un nuevo paquete Python malicioso que se hace pasar por una herramienta de comercio de criptomonedas pero alberga una funcionalidad diseñada para robar datos confidenciales y drenar activos de las billeteras criptográficas de las víctimas.
Se dice que el paquete, llamado “CryptoAITools”, se distribuyó a través de Python Package Index (PyPI) y repositorios falsos de GitHub. Fue descargado más de 1300 veces antes de ser eliminado en PyPI.
“El malware se activó automáticamente tras la instalación y apuntó a los sistemas operativos Windows y macOS”, dijo Checkmarx en un nuevo informe compartido con The Hacker News. “Se utilizó una interfaz gráfica de usuario (GUI) engañosa para distraer a vic4ms mientras el malware realizaba sus actividades maliciosas en segundo plano”.
El paquete está diseñado para desencadenar su comportamiento malicioso inmediatamente después de la instalación mediante un código inyectado en su archivo “__init__.py” que primero determina si el sistema de destino es Windows o macOS para ejecutar la versión apropiada del malware.
Dentro del código hay una funcionalidad auxiliar que es responsable de descargar y ejecutar cargas útiles adicionales, iniciando así un proceso de infección de varias etapas.
Específicamente, las cargas útiles se descargan de un sitio web falso (“monedasw[.]aplicación“) que anuncia un servicio de robot de comercio de criptomonedas, pero en realidad es un intento de darle al dominio una apariencia de legitimidad en caso de que un desarrollador decida navegar hasta él directamente en un navegador web.
Este enfoque no sólo ayuda al actor de la amenaza a evadir la detección, sino que también le permite ampliar las capacidades del malware a voluntad simplemente modificando las cargas alojadas en el sitio web de apariencia legítima.
Un aspecto notable del proceso de infección es la incorporación de un componente GUI que sirve para distraer a las víctimas mediante un proceso de configuración falso mientras el malware recopila de forma encubierta datos confidenciales de los sistemas.
“El malware CryptoAITools lleva a cabo una extensa operación de robo de datos, apuntando a una amplia gama de información confidencial en el sistema infectado”, dijo Checkmarx. “El objetivo principal es recopilar cualquier dato que pueda ayudar al atacante a robar activos de criptomonedas”.
Esto incluye datos de billeteras de criptomonedas (Bitcoin, Ethereum, Exodus, Atomic, Electrum, etc.), contraseñas guardadas, cookies, historial de navegación, extensiones de criptomonedas, claves SSH, archivos almacenados en Descargas, Documentos, directorios de escritorio que hacen referencia a criptomonedas, contraseñas, e información financiera, y Telegram.
En las máquinas Apple macOS, el ladrón también toma la medida de recopilar datos de las aplicaciones Apple Notes y Stickies. La información recopilada finalmente se carga en el gofile.[.]Servicio de transferencia de archivos io, después del cual se elimina la copia local.
Checkmarx dijo que también descubrió que el actor de amenazas distribuía el mismo malware ladrón a través de un repositorio de GitHub llamado Meme Token Hunter Bot que afirma ser “un robot comercial impulsado por IA que enumera todos los tokens meme en la red Solana y realiza transacciones en tiempo real una vez que se consideran seguros”.
Esto indica que la campaña también está dirigida a usuarios de criptomonedas que optan por clonar y ejecutar el código directamente desde GitHub. El repositorio, que todavía está activo en el momento de escribir este artículo, se bifurcó una vez y se destacó 10 veces.
También gestionado por los operadores es un canal de Telegram que promociona el mencionado repositorio de GitHub, además de ofrecer suscripciones mensuales y soporte técnico.
“Este enfoque multiplataforma permite al atacante lanzar una amplia red, potencialmente llegando a víctimas que podrían ser cautelosas con una plataforma pero confiar en otra”, dijo Checkmarx.
“La campaña de malware CryptoAITools tiene graves consecuencias para las víctimas y la comunidad de criptomonedas en general. Los usuarios que destacaron o bifurcaron el repositorio malicioso ‘Meme-Token-Hunter-Bot’ son víctimas potenciales, lo que amplía significativamente el alcance del ataque”.