Cybersecurity-onderzoekers hebben een nieuw kwaadaardig Python-pakket ontdekt dat zich voordoet als een handelsinstrument voor cryptocurrency, maar functionaliteit bevat die is ontworpen om gevoelige gegevens te stelen en activa uit de crypto-portefeuilles van slachtoffers te onttrekken.
Het pakket, genaamd “CryptoAITools”, zou zijn gedistribueerd via zowel Python Package Index (PyPI) als valse GitHub-repository’s. Het werd meer dan 1.300 keer gedownload voordat het op PyPI werd verwijderd.
“De malware werd automatisch geactiveerd bij de installatie en richtte zich op zowel Windows- als macOS-besturingssystemen”, zegt Checkmarx in een nieuw rapport gedeeld met The Hacker News. “Een misleidende grafische gebruikersinterface (GUI) werd gebruikt om vic4ms af te leiden terwijl de malware zijn kwaadaardige ac4vi4es op de achtergrond uitvoerde.”
Het pakket is ontworpen om zijn kwaadaardige gedrag onmiddellijk na de installatie te ontketenen via code die in het “__init__.py”-bestand wordt geïnjecteerd en die eerst bepaalt of het doelsysteem Windows of macOS is, zodat de juiste versie van de malware kan worden uitgevoerd.
In de code is een helperfunctionaliteit aanwezig die verantwoordelijk is voor het downloaden en uitvoeren van extra payloads, waardoor een meerfasig infectieproces op gang wordt gebracht.
Concreet worden de payloads gedownload van een nepwebsite (“coinsw(.)app”) die reclame maakt voor een botservice voor de handel in cryptocurrency, maar in feite een poging is om het domein een laagje legitimiteit te geven als een ontwikkelaar besluit er rechtstreeks naartoe te navigeren. in een webbrowser.
Deze aanpak helpt de bedreigingsactoren niet alleen om detectie te omzeilen, maar stelt hen ook in staat de mogelijkheden van de malware naar believen uit te breiden door eenvoudigweg de payloads aan te passen die op de legitiem ogende website worden gehost.
Een opmerkelijk aspect van het infectieproces is de integratie van een GUI-component die dient om de slachtoffers af te leiden door middel van een nep-installatieproces, terwijl de malware heimelijk gevoelige gegevens van de systemen verzamelt.
“De CryptoAITools-malware voert een uitgebreide gegevensdiefstaloperatie uit en richt zich op een breed scala aan gevoelige informatie op het geïnfecteerde systeem”, aldus Checkmarx. “Het primaire doel is om alle gegevens te verzamelen die de aanvaller kunnen helpen bij het stelen van cryptocurrency-activa.”
Dit omvat gegevens van cryptocurrency-portefeuilles (Bitcoin, Ethereum, Exodus, Atomic, Electrum, enz.), opgeslagen wachtwoorden, cookies, browsegeschiedenis, cryptocurrency-extensies, SSH-sleutels, bestanden opgeslagen in downloads, documenten, bureaubladmappen die verwijzen naar cryptocurrencies, wachtwoorden, en financiële informatie, en Telegram.
Op Apple macOS-machines zet de dief ook de stap om gegevens te verzamelen uit de Apple Notes- en Stickies-apps. De verzamelde informatie wordt uiteindelijk geüpload naar de gofile(.)io-bestandsoverdrachtservice, waarna de lokale kopie wordt verwijderd.
Checkmarx zei dat het ook de bedreigingsacteur heeft ontdekt die dezelfde stealer-malware verspreidt via een GitHub-repository genaamd Meme Token Hunter Bot, die beweert “een door AI aangedreven handelsbot te zijn die alle meme-tokens op het Solana-netwerk opsomt en realtime transacties uitvoert zodra ze worden als veilig beschouwd.”
Dit geeft aan dat de campagne zich ook richt op cryptocurrency-gebruikers die ervoor kiezen om de code rechtstreeks vanuit GitHub te klonen en uit te voeren. De repository, die op het moment van schrijven nog steeds actief is, is één keer geforkt en heeft 10 keer een ster gekregen.
Ook beheerd door de operators is een Telegram-kanaal dat de bovengenoemde GitHub-repository promoot, evenals maandelijkse abonnementen en technische ondersteuning biedt.
“Deze multi-platform aanpak stelt de aanvaller in staat een breed net uit te werpen en mogelijk slachtoffers te bereiken die misschien voorzichtig zijn met het ene platform, maar een ander vertrouwen”, aldus Checkmarx.
“De CryptoAITools-malwarecampagne heeft ernstige gevolgen voor de slachtoffers en de bredere cryptocurrency-gemeenschap. Gebruikers die de kwaadaardige ‘Meme-Token-Hunter-Bot’-repository hebben gespeeld of geforkt, zijn potentiële slachtoffers, waardoor het bereik van de aanval aanzienlijk wordt vergroot.”
