Krypto-Malware Python-Pakete verbreiten sich auf Stack Exchange

Jüngste Medienberichte haben Licht auf Krypto-Malware geworfen, die über Python-Pakete auf einer Entwickler-Q&A-Plattform, Stack Exchange, verbreitet wird. Wenn die Malware aktiviert wird, kann sie die Kryptowährungs-Geldbörsen der angegriffenen Nutzer leeren. In diesem Artikel befassen wir uns mit der Funktionsweise des Codes, den beteiligten Schadpaketen und mehr. Fangen wir an!

Python-Pakete: Krypto-Malware aufgedeckt

Die Angriffskampagnen für diese Krypto-Malware wurden am 25. Juni 2024 gestartet. Bisher scheinen die Angriffe einen gezielten Ansatz zu verfolgen und Kryptowährungsnutzer zu treffen, die mit Solana und Raydium zu tun haben.

Die Krypto-Malware wurde über mehrere Python-Pakete, die insgesamt über 2.000 Mal heruntergeladen wurden, an Nutzer verteilt, die aktiv mit den Währungen arbeiten. Die Namen dieser Pakete und ihre Downloads lauten:

Was die Details der Angriffe betrifft, so könnte die Krypto-Malware, die über diese bösartigen Python-Pakete verbreitet wird, alle Aktionen eines kompletten Informationsdiebstahls durchführen.

Mit diesen Fähigkeiten war er in der Lage, Cookies, Kreditkartendaten, Webbrowser-Passwörter und Krypto-Geldbörsen, die auf dem kompromittierten Gerät zugänglich sind, zu erfassen. Darüber hinaus konnte er auch auf Informationen in Verbindung mit Messaging-Apps wie Session, Telegram und Signal zugreifen.

Die Krypto-Malware konnte auch Screenshots aufnehmen und nach Dateien suchen. Die gesammelten Informationen wurden komprimiert und an zwei verschiedene Bots gesendet, die der Bedrohungsakteur auf Telegram unterhielt.

Der Informationsdiebstahl wurde durch eine Backdoor-Komponente zusätzlich erschwert. Diese Komponente wurde von den Bedrohungsakteuren verwendet, um die Langlebigkeit zu erhalten und eine langfristige Kompromittierung der Zielgeräte zu gewährleisten.

Funktionsweise von Krypto-Malware-Code und Angriffskette

Die Angriffskette für die Krypto-Malware war in mehrere Stufen unterteilt und folgte einem mehrschichtigen Ansatz, der häufig bei PlugX-Malware und anderen ausgefeilten Loadern zu beobachten ist. In allen Phasen wurden "raydium" -Paketlisten und "spl-types" verwendet, um bösartiges Verhalten zu verschleiern und einen legitimen Eindruck zu erwecken. Die Bedrohungsakteure nutzten Stack Exchange, eine Plattform für Fragen und Antworten von Entwicklern, um Downloads zu fördern - eine ähnliche Taktik wie bei der Verbreitung von ChatGPT-Malware über beliebte Diskussionsplattformen.

Auf der Plattform gaben sie Antworten auf Fragen und forderten Entwickler auf, Swap-Transaktionen in Raydium mit Python durchzuführen. In dieser Phase wurde sichergestellt, dass ein Thread mit hoher Sichtbarkeit verwendet wurde, da dies den Bedrohungsakteuren ermöglichte, ihre Reichweite zu maximieren und mehr Nutzer zu erreichen.

Sobald ein bösartiges Paket installiert war, wurde der Code automatisch ausgeführt. Danach folgte eine Kette von vorkonfigurierten Ereignissen, die die Kompromittierung und Kontrolle des Geräts des Opfers, das Exfiltrieren von Daten und das Leeren der Krypto-Brieftaschen umfassten. Es ist erwähnenswert, dass dies nicht das erste Mal ist, dass eine solche Taktik angewendet wird.

Im Mai 2024 wurde ein weiteres Python-Paket namens pytoileur auf einer anderen Q&A-Plattform namens Stack Overflow verbreitet. Das Ziel dieser böswilligen Aktionen war ebenfalls der Diebstahl von Kryptowährungen. Solche Muster deuten darauf hin, dass Angreifer das Vertrauen in Community-gesteuerte Plattformen manipulieren, um ihre böswilligen Absichten durchzusetzen.

Schlussfolgerung

Diese alarmierende Kampagne verdeutlicht die wachsende Bedrohung durch Krypto-Malware, die über vertrauenswürdige Plattformen wie Stack Exchange auf Entwickler abzielt. Durch die Nutzung von Python-Paketen sind Angreifer in der Lage, heimlich sensible Daten zu exfiltrieren und Kryptowährungs-Geldbörsen zu leeren. Wachsamkeit und robuste Sicherheitsmaßnahmen sind jetzt entscheidend, um sich vor diesen raffinierten Angriffen zu schützen, insbesondere angesichts der Zunahme von Linux-Malware-Varianten, die auf Entwicklerumgebungen abzielen.

Die Quellen für diesen Artikel sind Artikel in The Hacker News und Tech Xpert.