Er is een nieuwe reeks kwaadaardige pakketten opgegraven in de Python Package Index (PyPI)-repository die zich voordeden als herstel- en beheerdiensten voor cryptocurrency-portemonnees, alleen om gevoelige gegevens over te hevelen en de diefstal van waardevolle digitale activa te vergemakkelijken.
“De aanval was gericht op gebruikers van Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus en andere prominente portemonnees in het crypto-ecosysteem”, zei Checkmarx-onderzoeker Yehuda Gelb in een analyse van dinsdag.
“Deze pakketten presenteerden zichzelf als hulpprogramma’s voor het extraheren van geheugensteuntjes en het decoderen van portemonneegegevens en leken waardevolle functionaliteit te bieden voor gebruikers van cryptocurrency die zich bezighouden met portemonneeherstel of -beheer.”
Ze herbergen echter functionaliteit om privésleutels, geheugensteuntjes en andere gevoelige portemonneegegevens te stelen, zoals transactiegeschiedenis of portemonneesaldi. Elk van de pakketten werd honderden keren gedownload voordat ze werden verwijderd –
Checkmarx zei dat de pakketten zo genoemd zijn in een opzettelijke poging om ontwikkelaars te lokken die in het cryptocurrency-ecosysteem werken. In een verdere poging om de bibliotheken legitimiteit te verlenen, werden de pakketbeschrijvingen op PyPI geleverd met installatie-instructies, gebruiksvoorbeelden en in één geval zelfs “best practices” voor virtuele omgevingen.
Het bedrog hield daar niet op, want de bedreigingsacteur achter de campagne slaagde er ook in valse downloadstatistieken weer te geven, waardoor gebruikers de indruk kregen dat de pakketten populair en betrouwbaar waren.
Zes van de geïdentificeerde PyPI-pakketten bevatten een afhankelijkheid genaamd cipherbcryptors om de kwaadaardige programma’s uit te voeren, terwijl een paar andere vertrouwden op een aanvullend pakket met de naam ccl_leveldbases in een schijnbare poging om de functionaliteit te verdoezelen.
Een opvallend aspect van de pakketten is dat de kwaadaardige functionaliteit alleen wordt geactiveerd wanneer bepaalde functies worden aangeroepen, wat een prothese markeert van het typische patroon waarbij dergelijk gedrag automatisch zou worden geactiveerd tijdens de installatie. De vastgelegde gegevens worden vervolgens geëxfiltreerd naar een externe server.
“De aanvaller gebruikte een extra beveiligingslaag door het adres van zijn command-and-control-server in geen van de pakketten hard te coderen”, aldus Gelb. “In plaats daarvan gebruikten ze externe bronnen om deze informatie dynamisch op te halen.”
Deze techniek, genaamd dead drop-resolver, geeft de aanvallers de flexibiliteit om de serverinformatie bij te werken zonder een update naar de pakketten zelf te hoeven pushen. Het maakt het proces van het overstappen naar een andere infrastructuur ook eenvoudig als de servers uit de lucht worden gehaald.
“De aanval maakt misbruik van het vertrouwen in open-sourcegemeenschappen en het schijnbare nut van tools voor portefeuillebeheer, waardoor mogelijk een breed spectrum van cryptocurrency-gebruikers wordt getroffen”, aldus Gelb.
“De complexiteit van de aanval – van de misleidende verpakking tot de dynamische kwaadaardige mogelijkheden en het gebruik van kwaadaardige afhankelijkheden – benadrukt het belang van uitgebreide beveiligingsmaatregelen en voortdurende monitoring.”
De ontwikkeling is slechts de laatste in een reeks kwaadaardige campagnes gericht op de cryptocurrency-sector, waarbij bedreigingsactoren voortdurend op zoek zijn naar nieuwe manieren om geld uit de portefeuilles van slachtoffers te halen.
In augustus 2024 kwamen details naar voren van een geavanceerde cryptocurrency-zwendel genaamd CryptoCore, waarbij nepvideo’s of gekaapte accounts op sociale-mediaplatforms zoals Facebook, Twitch, X en YouTube worden gebruikt om gebruikers ertoe te verleiden afstand te doen van hun cryptocurrency-activa onder het mom van snelle en gemakkelijke winst.
“Deze oplichtingsgroep en zijn weggeefcampagnes maken gebruik van deepfake-technologie, gekaapte YouTube-accounts en professioneel ontworpen websites om gebruikers te misleiden zodat ze hun cryptocurrencies naar de portemonnee van de oplichters sturen”, aldus Avast-onderzoeker Martin Chlumecký.
“De meest gebruikelijke methode is een potentieel slachtoffer ervan te overtuigen dat online gepubliceerde berichten of evenementen officiële communicatie zijn van een vertrouwd sociale-media-account of een evenementenpagina, en daarmee meeliften op het vertrouwen dat is gekoppeld aan het gekozen merk, de persoon of het evenement.”
Vorige week wierp Check Point licht op een frauduleuze Android-app die het legitieme open source-protocol WalletConnect nabootste om ongeveer $70.000 aan cryptocurrency te stelen door frauduleuze transacties vanaf geïnfecteerde apparaten te initiëren.
