Paquetes Python de Crypto Malware se propagan en Stack Exchange
Recientes informes de los medios de comunicación han arrojado luz sobre un malware criptográfico que se está distribuyendo a través de paquetes Python en una plataforma de preguntas y respuestas para desarrolladores, Stack Exchange. El malware, si se activa, es capaz de vaciar las carteras de criptomonedas de los usuarios objetivo. En este artículo, nos centraremos en cómo funciona el código, los paquetes maliciosos implicados y mucho más. Comencemos.
Descubierto un malware criptográfico de paquetes Python
Las campañas de ataque relacionadas con este malware criptográfico se iniciaron el 25 de junio de 2024. Por el momento, los ataques parecen seguir un enfoque dirigido a usuarios de criptomonedas relacionados con Solana y Raydium.
El malware criptográfico se distribuyó a usuarios que participan activamente con las divisas a través de múltiples paquetes Python que se descargaron colectivamente más de 2.000 veces. Los nombres de estos paquetes, junto con sus descargas, incluyen:
Paquete Python | Número de descargas |
raydium | 762 descargas |
raydium-sdk | 137 descargas |
sol-instruct | 115 descargas |
sol-structs | 292 descargas |
spl-tipos | 776 descargas |
En cuanto a los detalles de los ataques, el malware criptográfico entregado a través de estos paquetes maliciosos de Python podría realizar todas las acciones de un completo ladrón de información.
Dadas estas capacidades, era capaz de adquirir cookies, datos de tarjetas de crédito, contraseñas de navegadores web y monederos criptográficos accesibles en el dispositivo comprometido. Además, también podía acceder a información vinculada a aplicaciones de mensajería como Session, Telegram y Signal.
El malware criptográfico también podía capturar pantallas y buscar archivos. La información recopilada se comprimía y se enviaba a dos bots diferentes que el autor de la amenaza mantenía en Telegram.
Para añadir más gravedad a su impacto, el ladrón de información también tenía un componente de puerta trasera. Este componente era utilizado por los actores de la amenaza para mantener la persistencia y asegurar el compromiso a largo plazo de los dispositivos objetivo.
Funcionalidad y cadena de ataque del código criptográfico malicioso
La cadena de ataque del malware criptográfico se dividió en varias etapas. A lo largo de las etapas, se utilizaron el listado de paquetes "raydium" y "spl-types" como medios para ocultar el comportamiento malicioso y dar una impresión legítima. Los actores de la amenaza utilizaron Stack Exchange, una plataforma de preguntas y respuestas para desarrolladores, para impulsar las descargas.
En la plataforma publicaban respuestas a preguntas y pedían a los desarrolladores que realizaran transacciones de intercambio en Raydium utilizando Python. Durante esta etapa, se garantizó el uso de un hilo de alta visibilidad, ya que permitía a los actores de la amenaza maximizar su alcance y dirigirse a más usuarios.
Una vez instalado el paquete malicioso, el código se ejecutaba automáticamente. Después, seguía una cadena de eventos preconfigurados que incluían comprometer y controlar el dispositivo de la víctima, exfiltrar datos y vaciar las criptocarteras. Cabe mencionar que no es la primera vez que se utilizan estas tácticas.
En mayo de 2024, otro paquete Python llamado pytoileur se distribuyó en otra plataforma de preguntas y respuestas llamada Stack Overflow. El objetivo de estas acciones maliciosas también era el robo de criptomonedas. Estos patrones indican que los atacantes están manipulando la confianza dentro de las plataformas impulsadas por la comunidad para llevar a cabo sus intenciones maliciosas.
Conclusión
Esta alarmante campaña pone de relieve la creciente amenaza de malware criptográfico dirigido a desarrolladores a través de plataformas de confianza como Stack Exchange. Aprovechando paquetes de Python, los atacantes son capaces de filtrar sigilosamente datos confidenciales y vaciar carteras de criptomonedas. La vigilancia y unas medidas de seguridad sólidas son ahora cruciales para protegerse de estos sofisticados ataques.
Las fuentes de este artículo incluyen artículos en The Hacker News y Tech Xpert.