BIPClip: охота на крипту или дырявый PyPI

[tabac]

Платформа PyPI в очередной раз стала удобным каналом распространения вредоносного кода.

В репозитории Python Package Index (PyPI) недавно были обнаружены семь пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютных кошельков.

Операция, получившая название BIPClip и выявленная специалистами из компании ReversingLabs, нацелена на разработчиков, работающих над проектами по созданию и защите криптовалютных кошельков.

Эти пакеты, загруженные суммарно 7451 раз до их удаления с PyPI, представляют собой следующий список:

• jsBIP39-decrypt (126 загрузок);
• bip39-mnemonic-decrypt (689 загрузок);
• mnemonic_to_address (771 загрузка);
• erc20-scanner (343 загрузки);
• public-address-generator (1005 загрузок);
• hashdecrypt (4292 загрузки);
• hashdecrypts (225 загрузок).

Примечательно, что вредоносная кампания BIPClip была начата довольно давно — 4 декабря 2022 года. Именно тогда был впервые опубликован предпоследний пакет из списка выше — «hashdecrypt».

Один из пакетов — «mnemonic_to_address» — не содержал вредоносного кода, за исключением указания «bip39-mnemonic-decrypt» в качестве зависимости, где и был скрыт вредоносный компонент. Два других пакета — «public-address-generator» и «erc20-scanner» — работали аналогичным образом, пересылая мнемонические фразы на сервер управления злоумышленников. В свою очередь, «hashdecrypts» содержал практически идентичный код для извлечения данных.

Кроме того, в составе этих пакетов были обнаружены ссылки на профиль GitHub под названием «HashSnake», в котором рекламируется репозиторий hCrypto для извлечения мнемонических фраз из криптовалютных кошельков с использованием пакета «hashdecrypts». История коммитов репозитория показывает, что кампания длится уже более года.

Аккаунт HashSnake также присутствует в Telegram и YouTube, где рекламируются соответствующие программные продукты. Например, 7 сентября 2022 года было опубликовано видео с инструментом для проверки криптовалютных журналов xMultiChecker 2.0.

Обнаружение этих пакетов подчёркивает угрозы безопасности, связанные с репозиториями открытого кода, особенно когда для распространения вредоносного ПО используются законные сервисы, такие как GitHub.

Кроме того, проекты, которые больше не обновляются, становятся привлекательными целями для злоумышленников, которые могут захватить контроль над аккаунтами разработчиков и публиковать троянизированные версии продуктов, открывая путь для масштабных атак на цепочку поставок.

Причём хакеры способны не просто единоразово скомпрометировать цепочку поставок, но и оставаться незамеченными на протяжении долгого времени, что дополнительно увеличивает риски как для разработчиков, так и для простых пользователей.

BIPClip: Malicious PyPI packages target crypto wallet recovery passwords

RL has discovered a campaign using malicious PyPI packages posing as open-source libraries to steal BIP39 mnemonic phrases used for crypto wallet recovery.

www.reversinglabs.com

 

[mlx]

Популярный репозиторий открытого программного обеспечения PyPI (Python Package Index) недавно столкнулся с масштабной кибератакой, в ходе которой злоумышленники использовали автоматизированные средства для загрузки на платформу множества вредоносных пакетов.

При установке на устройства пользователей данные пакеты запускали вредоносный код, нацеленный на кражу криптовалютных кошельков, конфиденциальных данных из браузеров, учётных записей и прочей ценной информации.

Злоумышленники использовали метод «typosquatting» — создание пакетов с именами, отличающимися на одну-две буквы от уже известных и популярных библиотек. В качестве приманки хакеры ориентировались на такие пакеты, как Requests, Pillow и Colorama. Таким образом, пользователь мог случайно установить заражённый пакет вместо легитимного.

Как сообщают эксперты по кибербезопасности из компании Checkmarx, вредоносный код размещался злоумышленниками в файле «setup.py» каждого такого пакета. Это позволяло автоматически запускать вредоносную нагрузку при установке пакета. Код был тщательно зашифрован с помощью модуля Fernet для сокрытия своей вредоносной природы.

После выполнения зашифрованного кода происходило подключение к удалённому серверу и загрузка дополнительной вредоносной нагрузки. Зловредное ПО также внедряло механизм постоянства, позволявший ему оставаться активным в заражённой системе даже после перезагрузки.

Обнаружив атаку, администрация PyPI оперативно приняла меры — на 10 часов была временно приостановлена возможность создания новых проектов и регистрации пользователей. Это позволило удалить все выявленные заражённые пакеты, после чего работа ресурса была полностью восстановлена.

Данный инцидент является лишь одним из множества примеров растущей угрозы атак на инфраструктуру разработки программного обеспечения. Ранее аналогичные кампании неоднократно затрагивали такие популярные ресурсы как GitHub, npm и RubyGems. Злоумышленники применяют разные техники, включая клонирование легитимных репозиториев и внедрение в них вредоносного кода, а также использование техники «dependency confusion».

К сожалению, полностью обезопасить экосистему разработки ПО от таких атак невозможно. Эксперты рекомендуют разработчикам крайне внимательно проверять названия, источники и содержимое устанавливаемых пакетов, чтобы не стать жертвой вредоносных кампаний. Также важны своевременное обновление программного обеспечения и отслеживание новых актуальных угроз.