Se ha descubierto un nuevo conjunto de paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hac\u00edan pasar por servicios de gesti\u00f3n y recuperaci\u00f3n de billeteras de criptomonedas, solo para desviar datos confidenciales y facilitar el robo de valiosos activos digitales.<\/p>\n
“El ataque se dirigi\u00f3 a los usuarios de Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus y otras carteras destacadas en el ecosistema criptogr\u00e1fico”, dijo el investigador de Checkmarx, Yehuda Gelb. dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n “Al presentarse como utilidades para extraer frases mnemot\u00e9cnicas y descifrar datos de billeteras, estos paquetes parecieron ofrecer una funcionalidad valiosa para los usuarios de criptomonedas involucrados en la recuperaci\u00f3n o administraci\u00f3n de billeteras”.<\/p>\n Sin embargo, albergan funciones para robar claves privadas, frases mnemot\u00e9cnicas y otros datos confidenciales de la billetera, como historiales de transacciones o saldos de billetera. Cada uno de los paquetes atrajo cientos de descargas antes de ser eliminado.<\/p>\n Checkmarx dijo que los paquetes recibieron ese nombre en un intento deliberado de atraer a los desarrolladores que trabajan en el ecosistema de las criptomonedas. En un intento adicional de dar legitimidad a las bibliotecas, las descripciones de los paquetes en PyPI inclu\u00edan instrucciones de instalaci\u00f3n, ejemplos de uso y, en un caso, incluso “mejores pr\u00e1cticas” para entornos virtuales.<\/p>\n El enga\u00f1o no termin\u00f3 ah\u00ed, ya que el actor de amenazas detr\u00e1s de la campa\u00f1a tambi\u00e9n logr\u00f3 mostrar estad\u00edsticas de descarga falsas, dando a los usuarios la impresi\u00f3n de que los paquetes eran populares y confiables.<\/p>\n Seis de los paquetes PyPI identificados inclu\u00edan una dependencia llamada cipherbcryptors para ejecutar el malware, mientras que algunos otros depend\u00edan de un paquete adicional llamado ccl_leveldbases en un aparente esfuerzo por ofuscar la funcionalidad.<\/p>\n Un aspecto notable de los paquetes es que la funcionalidad maliciosa se activa solo cuando se llaman ciertas funciones, lo que marca una dentadura postiza del patr\u00f3n t\u00edpico en el que dicho comportamiento se activar\u00eda autom\u00e1ticamente tras la instalaci\u00f3n. Los datos capturados luego se extraen a un servidor remoto.<\/p>\n “El atacante emple\u00f3 una capa adicional de seguridad al no codificar la direcci\u00f3n de su servidor de comando y control dentro de ninguno de los paquetes”, dijo Gelb. “En cambio, utilizaron recursos externos para recuperar esta informaci\u00f3n de forma din\u00e1mica”.<\/p>\n Esta t\u00e9cnica, llamada solucionador de ca\u00edda muerta<\/a>brinda a los atacantes la flexibilidad de actualizar la informaci\u00f3n del servidor sin tener que enviar una actualizaci\u00f3n a los propios paquetes. Tambi\u00e9n facilita el proceso de cambio a una infraestructura diferente en caso de que se desconecten los servidores.<\/p>\n “El ataque explota la confianza en las comunidades de c\u00f3digo abierto y la aparente utilidad de las herramientas de gesti\u00f3n de billeteras, afectando potencialmente a un amplio espectro de usuarios de criptomonedas”, dijo Gelb.<\/p>\n “La complejidad del ataque (desde su envoltorio enga\u00f1oso hasta sus capacidades maliciosas din\u00e1micas y el uso de dependencias maliciosas) resalta la importancia de medidas de seguridad integrales y un monitoreo continuo”.<\/p>\n El desarrollo es solo el \u00faltimo de una serie de campa\u00f1as maliciosas dirigidas al sector de las criptomonedas, con actores de amenazas constantemente buscando nuevas formas de drenar fondos de las billeteras de las v\u00edctimas.<\/p>\n En agosto de 2024, surgieron detalles de una sofisticada operaci\u00f3n de estafa de criptomonedas denominada CryptoCore que implica el uso de videos falsos o cuentas secuestradas en plataformas de redes sociales como Facebook, Twitch, X y YouTube para atraer a los usuarios a deshacerse de sus activos de criptomonedas con el pretexto de una r\u00e1pida y ganancias f\u00e1ciles.<\/p>\n “Este grupo estafador y sus campa\u00f1as de obsequios aprovechan la tecnolog\u00eda deepfake, cuentas de YouTube secuestradas y sitios web dise\u00f1ados profesionalmente para enga\u00f1ar a los usuarios y enviar sus criptomonedas a las billeteras de los estafadores”, dijo el investigador de Avast Martin Chlumeck\u00fd dicho<\/a>.<\/p>\n “El m\u00e9todo m\u00e1s com\u00fan es convencer a una v\u00edctima potencial de que los mensajes o eventos publicados en l\u00ednea son comunicaciones oficiales de una cuenta de red social o p\u00e1gina de evento confiable, aprovechando as\u00ed la confianza asociada con la marca, persona o evento elegido”.<\/p>\n Luego, la semana pasada, Check Point arroj\u00f3 luz sobre una aplicaci\u00f3n fraudulenta de Android que se hac\u00eda pasar por el protocolo leg\u00edtimo de c\u00f3digo abierto WalletConnect para robar aproximadamente $70,000 en criptomonedas al iniciar transacciones fraudulentas desde dispositivos infectados.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Se-encontro-un-repositorio-de-PyPI-que-aloja-herramientas-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n