Peneliti keamanan siber telah menemukan paket Python berbahaya baru yang menyamar sebagai alat perdagangan mata uang kripto namun memiliki fungsi yang dirancang untuk mencuri data sensitif dan menguras aset dari dompet kripto korban.
Paket tersebut, bernama “CryptoAITools,” dikatakan telah didistribusikan melalui Python Package Index (PyPI) dan repositori GitHub palsu. Itu diunduh lebih dari 1.300 kali sebelum dihapus di PyPI.
“Malware ini aktif secara otomatis saat instalasi, menargetkan sistem operasi Windows dan macOS,” kata Checkmarx dalam laporan baru yang dibagikan kepada The Hacker News. “Antarmuka pengguna grafis (GUI) yang menipu digunakan untuk mengalihkan perhatian korban sementara malware melakukan aktivitas jahatnya di latar belakang.”
Paket ini dirancang untuk melepaskan perilaku jahatnya segera setelah instalasi melalui kode yang dimasukkan ke dalam file “__init__.py” yang terlebih dahulu menentukan apakah sistem targetnya adalah Windows atau macOS untuk mengeksekusi versi malware yang sesuai.
Di dalam kode terdapat fungsi pembantu yang bertanggung jawab untuk mengunduh dan mengeksekusi muatan tambahan, sehingga memulai proses infeksi multi-tahap.
Secara khusus, muatan diunduh dari situs web palsu (“coinsw[.]app”) yang mengiklankan layanan bot perdagangan mata uang kripto, namun pada kenyataannya merupakan upaya untuk memberikan lapisan legitimasi pada domain tersebut jika pengembang memutuskan untuk membukanya langsung di browser web.
Pendekatan ini tidak hanya membantu pelaku ancaman menghindari deteksi, namun juga memungkinkan mereka memperluas kemampuan malware sesuka hati hanya dengan memodifikasi muatan yang dihosting di situs web yang tampak sah.
Aspek penting dari proses infeksi adalah penggabungan komponen GUI yang berfungsi untuk mengalihkan perhatian korban melalui proses pengaturan palsu sementara malware secara diam-diam mengambil data sensitif dari sistem.
“Malware CryptoAITools melakukan operasi pencurian data yang luas, menargetkan berbagai informasi sensitif pada sistem yang terinfeksi,” kata Checkmarx. “Tujuan utamanya adalah mengumpulkan data apa pun yang dapat membantu penyerang dalam mencuri aset mata uang kripto.”
Ini termasuk data dari dompet mata uang kripto (Bitcoin, Ethereum, Exodus, Atomic, Electrum, dll.), kata sandi yang disimpan, cookie, riwayat penelusuran, ekstensi mata uang kripto, kunci SSH, file yang disimpan di Unduhan, Dokumen, direktori Desktop yang mereferensikan mata uang kripto, kata sandi, dan informasi keuangan, dan Telegram.
Di mesin Apple macOS, pencuri juga mengambil langkah mengumpulkan data dari aplikasi Apple Notes dan Stickies. Informasi yang dikumpulkan pada akhirnya diunggah ke gofile[.]layanan transfer file io, setelah itu salinan lokal dihapus.
Checkmarx mengatakan pihaknya juga menemukan pelaku ancaman yang mendistribusikan malware pencuri yang sama melalui repositori GitHub bernama Meme Token Hunter Bot yang mengklaim sebagai “bot perdagangan bertenaga AI yang mencantumkan semua token meme di jaringan Solana dan melakukan perdagangan waktu nyata begitu mereka dianggap aman.”
Hal ini menunjukkan bahwa kampanye tersebut juga menargetkan pengguna mata uang kripto yang memilih untuk mengkloning dan menjalankan kode langsung dari GitHub. Repositori, yang masih aktif pada saat penulisan, telah di-fork satu kali dan diberi bintang sebanyak 10 kali.
Operator juga mengelola saluran Telegram yang mempromosikan repositori GitHub yang disebutkan di atas, serta menawarkan langganan bulanan dan dukungan teknis.
“Pendekatan multi-platform ini memungkinkan penyerang untuk memasang jaring yang luas, berpotensi menjangkau korban yang mungkin berhati-hati terhadap satu platform namun mempercayai platform lain,” kata Checkmarx.
“Kampanye malware CryptoAITools memiliki konsekuensi yang parah bagi para korban dan komunitas mata uang kripto yang lebih luas. Pengguna yang membintangi atau melakukan fork pada repositori 'Meme-Token-Hunter-Bot' yang berbahaya adalah calon korban, sehingga secara signifikan memperluas jangkauan serangan tersebut.”
