ClickCease Paquetes Python de Crypto Malware se propagan en Stack Exchange - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Paquetes Python de Crypto Malware se propagan en Stack Exchange

por Wajahat Raja

12 de agosto de 2024 - Equipo de expertos TuxCare

Recientes informes de los medios de comunicación han arrojado luz sobre un malware criptográfico que se está distribuyendo a través de paquetes Python en una plataforma de preguntas y respuestas para desarrolladores, Stack Exchange. El malware, si se activa, es capaz de vaciar las carteras de criptomonedas de los usuarios objetivo. En este artículo, nos centraremos en cómo funciona el código, los paquetes maliciosos implicados y mucho más. Comencemos.

Descubierto un malware criptográfico de paquetes Python

Las campañas de ataque relacionadas con este malware criptográfico se iniciaron el 25 de junio de 2024. Por el momento, los ataques parecen seguir un enfoque dirigido a usuarios de criptomonedas relacionados con Solana y Raydium.

El malware criptográfico se distribuyó a usuarios que participan activamente con las divisas a través de múltiples paquetes Python que se descargaron colectivamente más de 2.000 veces. Los nombres de estos paquetes, junto con sus descargas, incluyen:

Paquete Python Número de descargas
raydium 762 descargas
raydium-sdk 137 descargas
sol-instruct 115 descargas
sol-structs 292 descargas
spl-tipos 776 descargas

 

En cuanto a los detalles de los ataques, el malware criptográfico entregado a través de estos paquetes maliciosos de Python podría realizar todas las acciones de un completo ladrón de información.

Dadas estas capacidades, era capaz de adquirir cookies, datos de tarjetas de crédito, contraseñas de navegadores web y monederos criptográficos accesibles en el dispositivo comprometido. Además, también podía acceder a información vinculada a aplicaciones de mensajería como Session, Telegram y Signal.

El malware criptográfico también podía capturar pantallas y buscar archivos. La información recopilada se comprimía y se enviaba a dos bots diferentes que el autor de la amenaza mantenía en Telegram.

Para añadir más gravedad a su impacto, el ladrón de información también tenía un componente de puerta trasera. Este componente era utilizado por los actores de la amenaza para mantener la persistencia y asegurar el compromiso a largo plazo de los dispositivos objetivo.

Funcionalidad y cadena de ataque del código criptográfico malicioso

La cadena de ataque del malware criptográfico se dividió en varias etapas. A lo largo de las etapas, se utilizaron el listado de paquetes "raydium" y "spl-types" como medios para ocultar el comportamiento malicioso y dar una impresión legítima. Los actores de la amenaza utilizaron Stack Exchange, una plataforma de preguntas y respuestas para desarrolladores, para impulsar las descargas.

En la plataforma publicaban respuestas a preguntas y pedían a los desarrolladores que realizaran transacciones de intercambio en Raydium utilizando Python. Durante esta etapa, se garantizó el uso de un hilo de alta visibilidad, ya que permitía a los actores de la amenaza maximizar su alcance y dirigirse a más usuarios.

Una vez instalado el paquete malicioso, el código se ejecutaba automáticamente. Después, seguía una cadena de eventos preconfigurados que incluían comprometer y controlar el dispositivo de la víctima, exfiltrar datos y vaciar las criptocarteras. Cabe mencionar que no es la primera vez que se utilizan estas tácticas.

En mayo de 2024, otro paquete Python llamado pytoileur se distribuyó en otra plataforma de preguntas y respuestas llamada Stack Overflow. El objetivo de estas acciones maliciosas también era el robo de criptomonedas. Estos patrones indican que los atacantes están manipulando la confianza dentro de las plataformas impulsadas por la comunidad para llevar a cabo sus intenciones maliciosas.

Conclusión

Esta alarmante campaña pone de relieve la creciente amenaza de malware criptográfico dirigido a desarrolladores a través de plataformas de confianza como Stack Exchange. Aprovechando paquetes de Python, los atacantes son capaces de filtrar sigilosamente datos confidenciales y vaciar carteras de criptomonedas. La vigilancia y unas medidas de seguridad sólidas son ahora cruciales para protegerse de estos sofisticados ataques.

Las fuentes de este artículo incluyen artículos en The Hacker News y Tech Xpert.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.