Охотники за угрозами обнаружили набор из семи пакетов в репозитории Python Package Index (PyPI), которые предназначены для кражи мнемонических фраз BIP39, используемых для восстановления закрытых ключей криптовалютного кошелька.
Кампания по атаке на цепочку поставок программного обеспечения получила кодовое название BIPClip от ReversingLabs. В совокупности пакеты были загружены 7451 раз, прежде чем они были удалены из PyPI. Список пакетов выглядит следующим образом -
"Это всего лишь последняя кампания цепочки поставок программного обеспечения, нацеленная на криптовалютные активы", - сказал исследователь безопасности Карло Занки в отчете, опубликованном в Hacker News. "Это подтверждает, что криптовалюта по-прежнему остается одной из самых популярных целей для участников угроз в цепочке поставок".
В знак того, что участники угрозы, стоящие за кампанией, были осторожны, чтобы избежать обнаружения, один из рассматриваемых пакетов - mnemonic_to_address - был лишен какой-либо вредоносной функциональности, за исключением указания bip39-mnemonic-decrypt в качестве своей зависимости, которая содержала вредоносный компонент.
"Даже если они решили просмотреть зависимости пакета, имя импортированного модуля и вызываемой функции тщательно подобраны, чтобы имитировать законные функции и не вызывать подозрений, поскольку реализации стандарта BIP39 включают множество криптографических операций", - объяснил Занки.
Пакет, со своей стороны, предназначен для кражи мнемонических фраз и эксфильтрации информации на сервер, контролируемый участниками.
Два других пакета, идентифицированных ReversingLabs, - генератор публичных адресов и erc20–сканер - работают аналогичным образом, причем первый действует как приманка для передачи мнемонических фраз на тот же сервер командования и управления (C2).
С другой стороны, hashdecrypts функционирует немного по-другому в том смысле, что он не предназначен для работы в паре и содержит внутри себя почти идентичный код для сбора данных.
Пакет, согласно фирме по обеспечению безопасности цепочки поставок программного обеспечения, содержит ссылки на профиль GitHub с именем "HashSnake", в котором есть репозиторий под названием hCrypto, который рекламируется как способ извлечения мнемонических фраз из криптокошельков с использованием пакета hashdecrypts.
Более тщательное изучение истории коммитов репозитория показывает, что кампания ведется уже более года, основываясь на том факте, что один из скриптов Python ранее импортировал пакет hashdecrypt (без "s") вместо hashdecrypts до 1 марта 2024 года, в ту же дату, когда hashdecrypts был загружен в PyPI.
Стоит отметить, что злоумышленники, стоящие за учетной записью HashSnake, также присутствуют в Telegram и YouTube для рекламы своих товаров. Это включает в себя выпуск видео 7 сентября 2022 года, демонстрирующего инструмент проверки криптографических журналов, получивший название xMultiChecker 2.0.
"Содержимое каждого из обнаруженных пакетов было тщательно обработано, чтобы они выглядели менее подозрительно", - сказал Занки.
"Они были нацелены на компрометацию криптовалютных кошельков и кражу криптовалют, которые в них содержались. Отсутствие более широкой повестки дня и амбиций сделало менее вероятным, что эта кампания задействует инструменты безопасности и мониторинга, развернутые в скомпрометированных организациях".
Полученные данные еще раз подчеркивают угрозы безопасности, которые скрываются в репозиториях пакетов с открытым исходным кодом, что усугубляется тем фактом, что законные сервисы, такие как GitHub, используются в качестве канала для распространения вредоносного ПО.
Более того, заброшенные проекты становятся привлекательным направлением для субъектов угроз для захвата контроля над учетными записями разработчиков и публикации троянских версий, которые затем могут проложить путь для крупномасштабных атак по цепочке поставок.
"Заброшенные цифровые активы - это не пережитки прошлого; это бомбы замедленного действия, и злоумышленники все чаще пользуются ими, превращая их в троянских коней в экосистемах с открытым исходным кодом", - отметил Checkmarx в прошлом месяце.
"В тематических исследованиях MavenGate и CocoaPods показано, как заброшенные домены и поддомены могут быть захвачены для введения пользователей в заблуждение и распространения злонамеренных намерений".
Кампания по атаке на цепочку поставок программного обеспечения получила кодовое название BIPClip от ReversingLabs. В совокупности пакеты были загружены 7451 раз, прежде чем они были удалены из PyPI. Список пакетов выглядит следующим образом -
- jsBIP39-расшифровать (126 загрузок)
- bip39-мнемоническое дешифрование (689 загрузок)
- mnemonic_to_address (771 загрузка)
- erc20-сканер (343 загрузки)
- генератор публичных адресов (1005 загрузок)
- hashdecrypt (4292 загрузки)
- hashdecrypts (225 загрузок)
"Это всего лишь последняя кампания цепочки поставок программного обеспечения, нацеленная на криптовалютные активы", - сказал исследователь безопасности Карло Занки в отчете, опубликованном в Hacker News. "Это подтверждает, что криптовалюта по-прежнему остается одной из самых популярных целей для участников угроз в цепочке поставок".
В знак того, что участники угрозы, стоящие за кампанией, были осторожны, чтобы избежать обнаружения, один из рассматриваемых пакетов - mnemonic_to_address - был лишен какой-либо вредоносной функциональности, за исключением указания bip39-mnemonic-decrypt в качестве своей зависимости, которая содержала вредоносный компонент.
"Даже если они решили просмотреть зависимости пакета, имя импортированного модуля и вызываемой функции тщательно подобраны, чтобы имитировать законные функции и не вызывать подозрений, поскольку реализации стандарта BIP39 включают множество криптографических операций", - объяснил Занки.
Пакет, со своей стороны, предназначен для кражи мнемонических фраз и эксфильтрации информации на сервер, контролируемый участниками.
Два других пакета, идентифицированных ReversingLabs, - генератор публичных адресов и erc20–сканер - работают аналогичным образом, причем первый действует как приманка для передачи мнемонических фраз на тот же сервер командования и управления (C2).
С другой стороны, hashdecrypts функционирует немного по-другому в том смысле, что он не предназначен для работы в паре и содержит внутри себя почти идентичный код для сбора данных.
Пакет, согласно фирме по обеспечению безопасности цепочки поставок программного обеспечения, содержит ссылки на профиль GitHub с именем "HashSnake", в котором есть репозиторий под названием hCrypto, который рекламируется как способ извлечения мнемонических фраз из криптокошельков с использованием пакета hashdecrypts.
Более тщательное изучение истории коммитов репозитория показывает, что кампания ведется уже более года, основываясь на том факте, что один из скриптов Python ранее импортировал пакет hashdecrypt (без "s") вместо hashdecrypts до 1 марта 2024 года, в ту же дату, когда hashdecrypts был загружен в PyPI.
Стоит отметить, что злоумышленники, стоящие за учетной записью HashSnake, также присутствуют в Telegram и YouTube для рекламы своих товаров. Это включает в себя выпуск видео 7 сентября 2022 года, демонстрирующего инструмент проверки криптографических журналов, получивший название xMultiChecker 2.0.
"Содержимое каждого из обнаруженных пакетов было тщательно обработано, чтобы они выглядели менее подозрительно", - сказал Занки.
"Они были нацелены на компрометацию криптовалютных кошельков и кражу криптовалют, которые в них содержались. Отсутствие более широкой повестки дня и амбиций сделало менее вероятным, что эта кампания задействует инструменты безопасности и мониторинга, развернутые в скомпрометированных организациях".
Полученные данные еще раз подчеркивают угрозы безопасности, которые скрываются в репозиториях пакетов с открытым исходным кодом, что усугубляется тем фактом, что законные сервисы, такие как GitHub, используются в качестве канала для распространения вредоносного ПО.
Более того, заброшенные проекты становятся привлекательным направлением для субъектов угроз для захвата контроля над учетными записями разработчиков и публикации троянских версий, которые затем могут проложить путь для крупномасштабных атак по цепочке поставок.
"Заброшенные цифровые активы - это не пережитки прошлого; это бомбы замедленного действия, и злоумышленники все чаще пользуются ими, превращая их в троянских коней в экосистемах с открытым исходным кодом", - отметил Checkmarx в прошлом месяце.
"В тематических исследованиях MavenGate и CocoaPods показано, как заброшенные домены и поддомены могут быть захвачены для введения пользователей в заблуждение и распространения злонамеренных намерений".
