Los actores de amenazas apuntan a PyPI principalmente debido a su enorme base de usuarios y la facilidad con la que se pueden distribuir paquetes maliciosos dentro del ecosistema de código abierto.
La naturaleza descentralizada de PyPI complica los esfuerzos de monitoreo, lo que la convierte en una plataforma atractiva para los atacantes que buscan comprometer los entornos de desarrollo e interrumpir las cadenas de suministro de software.
Los investigadores de Checkmarx descubrieron recientemente que PyPI estaba bajo ataque y descubrieron un paquete malicioso de robo de criptomonedas.
Los usuarios maliciosos de PyPI lanzaron un “ataque a la cadena de suministro” avanzado el 22 de septiembre “cargando múltiples paquetes engañosos”, incluidos “AtomicDecoderss”, “TrustDecoderss”, “WalletDecoderss” y “ExodusDecodes”.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
TrustDecoderss y ExodusDecodes (fuente – medio)
Estos paquetes pretendían ser herramientas legítimas para administrar carteras de criptomonedas como “Atomic”, “Trust Wallet”, “Metamask”, “Ronin”, “TronLink”, “Exodus”, etc.
El paquete parece ayudar a los usuarios a recuperar “frases mnemotécnicas” (contraseñas de respaldo de 12 a 24 palabras) y descifrar datos de billetera, pero también implementa estrategias complejas de malware a través del “envenenamiento de dependencias”.
Aquí, el código malicioso estaba oculto en paquetes de soporte llamados “cipherbcryptors'' y “ccl_leveldbases'' en lugar de en el paquete principal, agregó Checkmark.
Los atacantes aumentaron su credibilidad mediante archivos README (documentos) creados profesionalmente que contienen estadísticas de descarga e instrucciones de uso falsas.
Cuando los usuarios instalan estos paquetes, se activa un código malicioso oculto y se roban datos confidenciales de criptomonedas.
Esto incluye una “clave privada” y una “frase mnemotécnica” que le dan al atacante acceso completo a los “millones de dólares” en fondos de criptomonedas de la víctima.
Los ataques avanzados a la cadena de suministro que utilizan múltiples “engaños” y “sofisticaciones técnicas” en el “ecosistema Python” están representados por el paquete “cipherbcryptors”.
El malware emplea “técnicas avanzadas de ofuscación de código” para ocultar su verdadera funcionalidad, mientras implementa una “infraestructura de servidor C2 dinámica” que obtiene direcciones externamente en lugar de “codificarlas”.
Flujo de ataque (Fuente – Medio)
El paquete permanece inactivo durante la “instalación” para evitar “análisis de seguridad” y solo se activa cuando el usuario llama a ciertas funciones de criptomonedas.
El malware se dirigió a varias carteras de criptomonedas cuando se activaba mediante una búsqueda de datos confidenciales.
Los datos confidenciales, por otro lado, incluyen 'claves privadas', 'frases iniciales mnemotécnicas', 'saldos de billetera' e 'historial de transacciones' en ubicaciones de archivos específicas y 'estructuras de datos'.
A continuación discutiremos todos los paquetes identificados: –
atomicdecoderss trondecoderss phantomdecoderss trustdecoderss exodusdecoderss Walletdecoderss ccl-localstoragerss exodushcates cipherbcryptors ccl_leveldbases
Luego, la información robada fue “cifrada” y “filtrada” a los servidores remotos del atacante a través de un “proceso cuidadosamente dirigido”.
Este ataque a la cadena de suministro se basa en “métricas de popularidad falsas”, “documentación detallada”, “nombramiento de paquetes estratégicos” y “la capacidad de buscar y ejecutar código externo dinámicamente” sin actualizar los paquetes. La combinación era especialmente peligrosa.
La arquitectura del malware le permitió eludir las “herramientas de análisis estático” tradicionales y al mismo tiempo mantener la flexibilidad para cambiar los patrones de ataque mediante “actualizaciones remotas”.
Esto muestra que los ataques a la cadena de suministro de software de código abierto son cada vez más sofisticados.
COI
hxxps(:)//pastebin(.)com/raw/FZUp6ESH hxxps://decry(.)en/check
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Malicious PyPI Packages Mimics a Legitimate Tools Attacking Crypto Wallets
