Dat cybercriminelen altijd op zoek zijn naar nieuwe manieren om gebruikers te misleiden en malware te downloaden, blijkt wel uit het feit dat het vraag-en-antwoordplatform Stack Exchange is misbruikt om nietsvermoedende ontwikkelaars naar valse Python-pakketten te leiden die hun cryptocurrency-wallets kunnen leeghalen.
“Na installatie wordt deze code automatisch uitgevoerd en wordt een reeks gebeurtenissen in gang gezet die erop gericht zijn de systemen van het slachtoffer te compromitteren en te controleren, terwijl ook hun gegevens worden geëxfiltreerd en hun cryptowallets worden leeggehaald”, aldus Checkmarx-onderzoekers Yehuda Gelb en Tzachi Zornstain in een rapport dat is gedeeld met The Hacker News.
De campagne, die begon op 25 juni 2024, richtte zich specifiek op cryptocurrencygebruikers die betrokken waren bij Raydium en Solana. De lijst met frauduleuze pakketten die als onderdeel van de activiteit werden ontdekt, staat hieronder –
De pakketten zijn gezamenlijk 2.082 keer gedownload. Ze zijn niet langer beschikbaar om te downloaden van de Python Package Index (PyPI) repository.
De malware die in het pakket verborgen zat, fungeerde als een ware informatiedief die een breed net aan gegevens uitgooide, waaronder wachtwoorden voor webbrowsers, cookies en creditcardgegevens, cryptovalutawallets en informatie die verband hield met berichten-apps als Telegram, Signal en Session.
Het bevatte ook mogelijkheden om screenshots van het systeem te maken en te zoeken naar bestanden met GitHub-herstelcodes en BitLocker-sleutels. De verzamelde informatie werd vervolgens gecomprimeerd en geëxfiltreerd naar twee verschillende Telegram-bots die door de dreigingsactor werden onderhouden.
Daarnaast bood een backdoorcomponent in de malware de aanvaller permanente externe toegang tot de computers van slachtoffers, wat toekomstige exploits en langdurige compromittering mogelijk maakte.
De aanvalsketen omvat meerdere fasen, waarbij het “raydium”-pakket “spl-types” als afhankelijkheid vermeldt in een poging het schadelijke gedrag te verbergen en gebruikers de indruk te geven dat het legitiem was.
Een opvallend aspect van de campagne is het gebruik van Stack Exchange als middel om de acceptatie te stimuleren. Dit gebeurt door ogenschijnlijk nuttige antwoorden te plaatsen op vragen van ontwikkelaars over het uitvoeren van swaptransacties in Raydium met behulp van Python. Deze antwoorden verwijzen naar het betreffende pakket.
“Door een thread met een hoge zichtbaarheid te kiezen, die duizenden views opleverde, maximaliseerde de aanvaller zijn potentiële bereik”, aldus de onderzoekers. Ze voegden eraan toe dat dit werd gedaan om “geloofwaardigheid te verlenen aan dit pakket en de brede acceptatie ervan te verzekeren.”
Hoewel het antwoord niet meer op Stack Exchange staat, vond The Hacker News verwijzingen naar “raydium” in een andere onbeantwoorde vraag die op 9 juli 2024 op de Q&A-site werd geplaatst: “Ik heb nachtenlang geprobeerd om een swap te krijgen op het solana-netwerk dat draait op Python 3.10.2, met geïnstalleerde solana, solders en Raydium, maar ik krijg het niet aan de praat”, aldus een gebruiker.
Verwijzingen naar “raydium-sdk” zijn ook opgedoken in een bericht met de titel “Hoe tokens kopen en verkopen op Raydium met behulp van Python: een stapsgewijze Solana-handleiding”, dat op 29 juni 2024 werd gedeeld door een gebruiker met de naam SolanaScribe op het sociale publicatieplatform Medium.
Het is momenteel niet duidelijk wanneer de pakketten van PyPI zijn verwijderd, aangezien twee andere gebruikers zes dagen geleden nog op de Medium-post hebben gereageerd om hulp te vragen aan de auteur over het installeren van “raydium-sdk”. Checkmarx vertelde The Hacker News dat de post niet het werk is van de dreigingsactor.
Dit is niet de eerste keer dat kwaadwillenden hun toevlucht nemen tot een dergelijke malwaredistributiemethode. Eerder deze mei onthulde Sonatype hoe een pakket genaamd pytoileur werd gepromoot via een andere Q&A-service genaamd Stack Overflow om diefstal van cryptovaluta te vergemakkelijken.
Deze ontwikkeling is eerder een bewijs dat aanvallers misbruik maken van het vertrouwen in deze community-gedreven platforms om malware te verspreiden, wat leidt tot grootschalige aanvallen op de toeleveringsketen.
“Een enkele gecompromitteerde ontwikkelaar kan onbedoeld kwetsbaarheden introduceren in het software-ecosysteem van een heel bedrijf, wat mogelijk het hele bedrijfsnetwerk beïnvloedt”, aldus de onderzoekers. “Deze aanval dient als een wake-upcall voor zowel individuen als organisaties om hun beveiligingsstrategieën opnieuw te beoordelen.”
De ontwikkeling komt terwijl Fortinet FortiGuard Labs een kwaadaardig PyPI-pakket genaamd zlibxjson beschreef dat functies bevatte om gevoelige informatie te stelen, zoals Discord-tokens, cookies opgeslagen in Google Chrome, Mozilla Firefox, Brave en Opera, en opgeslagen wachtwoorden van de browsers. De bibliotheek trok in totaal 602 downloads voordat het werd verwijderd van PyPI.
“Deze acties kunnen leiden tot ongeautoriseerde toegang tot gebruikersaccounts en de diefstal van persoonlijke gegevens, waardoor de software duidelijk als schadelijk kan worden geclassificeerd”, aldus beveiligingsonderzoeker Jenna Wang.
