Bedreigingsjagers hebben een set van zeven pakketten ontdekt in de Python Package Index (PyPI)-repository die zijn ontworpen om BIP39-ezelsbruggetjes te stelen die worden gebruikt voor het herstellen van privésleutels van een cryptocurrency-portemonnee.
De software supply chain-aanvalscampagne heeft door ReversingLabs de codenaam BIPClip gekregen. De pakketten werden gezamenlijk 7.451 keer gedownload voordat ze uit PyPI werden verwijderd. De lijst met pakketten is als volgt:
BIPClip, dat gericht is op ontwikkelaars die werken aan projecten die verband houden met het genereren en beveiligen van cryptocurrency-wallets, zou actief zijn sinds ten minste 4 december 2022, toen hashdecrypt voor het eerst in het register werd gepubliceerd.
“Dit is slechts de nieuwste software supply chain-campagne om crypto-activa te targeten”, zei beveiligingsonderzoeker Karlo Zanki in een rapport gedeeld met The Hacker News. “Het bevestigt dat cryptocurrency nog steeds een van de meest populaire doelwitten is voor actoren in de supply chain.”
Als teken dat de bedreigingsactoren achter de campagne voorzichtig waren om detectie te voorkomen, was een van de pakketten in kwestie – mnemonic_to_address – verstoken van enige kwaadaardige functionaliteit, behoudens vermelding van bip39-mnemonic-decrypt als zijn afhankelijkheid, die de kwaadaardige component bevatte. .
“Zelfs als ze ervoor zouden kiezen om naar de afhankelijkheden van het pakket te kijken, worden de naam van de geïmporteerde module en de aangeroepen functie zorgvuldig gekozen om legitieme functies na te bootsen en geen argwaan te wekken, aangezien implementaties van de BIP39-standaard veel cryptografische bewerkingen omvatten”, legt Zanki uit.
Het pakket is op zijn beurt ontworpen om geheugensteuntjes te stelen en de informatie naar een door een acteur bestuurde server te exfiltreren.
Twee andere door ReversingLabs geïdentificeerde pakketten – public-address-generator en erc20-scanner – werken op een analoge manier, waarbij de eerste als lokmiddel fungeert om de geheugensteuntjes naar dezelfde command-and-control (C2)-server te verzenden.
Aan de andere kant functioneren hashdecrypts iets anders, omdat het niet is ontworpen om als een paar te werken en in zichzelf vrijwel identieke code bevat om de gegevens te verzamelen.
Het pakket bevat, volgens het beveiligingsbedrijf voor de softwareleveringsketen, verwijzingen naar een GitHub-profiel met de naam “HashSnake”, dat een repository bevat met de naam hCrypto, die wordt geadverteerd als een manier om geheugensteuntjes uit crypto-wallets te extraheren met behulp van de pakket-hashdecrypts.
Een nader onderzoek van de commitgeschiedenis van de repository laat zien dat de campagne al meer dan een jaar aan de gang is, gebaseerd op het feit dat een van de Python-scripts eerder het hashdecrypt-pakket (zonder de “s”) importeerde in plaats van hashdecrypts tot 1 maart 2024. dezelfde datum waarop hashdecrypts naar PyPI werd geüpload.
Het is de moeite waard erop te wijzen dat de bedreigingsactoren achter het HashSnake-account ook aanwezig zijn op Telegram en YouTube om reclame te maken voor hun warez. Dit omvat het uitbrengen van een video op 7 september 2022, waarin een tool voor het controleren van cryptologboeken wordt getoond, genaamd xMultiChecker 2.0.
“De inhoud van elk van de ontdekte pakketten is zorgvuldig samengesteld om ze er minder verdacht uit te laten zien,” zei Zanki.
“Ze waren zeer gefocust op het compromitteren van crypto-portefeuilles en het stelen van de crypto-valuta’s die ze bevatten. Het ontbreken van een bredere agenda en ambities maakte het minder waarschijnlijk dat deze campagne de beveiligings- en monitoringtools die binnen gecompromitteerde organisaties zouden worden ingezet, zou laten struikelen.”
De bevindingen onderstrepen nogmaals de bedreigingen voor de veiligheid die op de loer liggen in open-sourcepakketopslagplaatsen, die nog worden verergerd door het feit dat legitieme diensten zoals GitHub worden gebruikt als kanaal om malware te verspreiden.
Bovendien worden verlaten projecten een aantrekkelijke vector voor bedreigingsactoren om de controle over de ontwikkelaarsaccounts over te nemen en getrojaniseerde versies te publiceren die vervolgens de weg kunnen vrijmaken voor grootschalige aanvallen op de toeleveringsketen.
“Verlaten digitale assets zijn geen overblijfselen uit het verleden; het zijn tikkende tijdbommen en aanvallers maken er steeds meer misbruik van en transformeren ze in Trojaanse paarden binnen de open-source-ecosystemen”, merkte Checkmarx vorige maand op.
“Casestudies van MavenGate en CocoaPods laten zien hoe verlaten domeinen en subdomeinen kunnen worden gekaapt om gebruikers te misleiden en kwaadaardige bedoelingen te verspreiden.”
