Serangkaian paket berbahaya baru telah ditemukan di repositori Python Package Index (PyPI) yang menyamar sebagai layanan pemulihan dan pengelolaan dompet mata uang kripto, hanya untuk menyedot data sensitif dan memfasilitasi pencurian aset digital yang berharga.
“Serangan itu menargetkan pengguna Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus, dan dompet terkemuka lainnya di ekosistem kripto,” kata peneliti Checkmarx Yehuda Gelb dalam analisis hari Selasa.
“Menampilkan diri mereka sebagai utilitas untuk mengekstrak frasa mnemonik dan mendekripsi data dompet, paket ini tampaknya menawarkan fungsionalitas berharga bagi pengguna cryptocurrency yang terlibat dalam pemulihan atau manajemen dompet.”
Namun, mereka menyimpan fungsi untuk mencuri kunci pribadi, frasa mnemonik, dan data dompet sensitif lainnya, seperti riwayat transaksi atau saldo dompet. Masing-masing paket menarik ratusan unduhan sebelum dihapus –
Checkmarx mengatakan paket tersebut diberi nama demikian dalam upaya yang disengaja untuk memikat pengembang yang bekerja di ekosistem cryptocurrency. Dalam upaya lebih lanjut untuk memberikan legitimasi kepada perpustakaan, deskripsi paket di PyPI dilengkapi dengan instruksi instalasi, contoh penggunaan, dan dalam satu kasus, bahkan “praktik terbaik” untuk lingkungan virtual.
Penipuan tidak berhenti di situ, karena pelaku ancaman di balik kampanye tersebut juga berhasil menampilkan statistik unduhan palsu, memberikan kesan kepada pengguna bahwa paket tersebut populer dan dapat dipercaya.
Enam dari paket PyPI yang teridentifikasi menyertakan ketergantungan yang disebut cipherbcryptors untuk mengeksekusi malware, sementara beberapa lainnya mengandalkan paket tambahan bernama ccl_leveldbases dalam upaya untuk mengaburkan fungsionalitasnya.
Aspek penting dari paket ini adalah bahwa fungsi berbahaya dipicu hanya ketika fungsi tertentu dipanggil, menandai perubahan dari pola umum di mana perilaku tersebut akan diaktifkan secara otomatis saat instalasi. Data yang diambil kemudian dieksfiltrasi ke server jarak jauh.
“Penyerang menggunakan lapisan keamanan tambahan dengan tidak mengkodekan alamat server komando dan kontrol mereka dalam paket apa pun,” kata Gelb. “Sebaliknya, mereka menggunakan sumber daya eksternal untuk mengambil informasi ini secara dinamis.”
Teknik ini, yang disebut dead drop solver, memberikan fleksibilitas kepada penyerang untuk memperbarui informasi server tanpa harus melakukan pembaruan pada paket itu sendiri. Hal ini juga memudahkan proses peralihan ke infrastruktur lain jika server dimatikan.
“Serangan ini mengeksploitasi kepercayaan pada komunitas sumber terbuka dan kegunaan alat manajemen dompet, yang berpotensi mempengaruhi spektrum luas pengguna mata uang kripto,” kata Gelb.
“Kompleksitas serangan ini – mulai dari kemasannya yang menipu hingga kemampuan jahatnya yang dinamis dan penggunaan ketergantungan yang berbahaya – menyoroti pentingnya langkah-langkah keamanan yang komprehensif dan pemantauan yang berkelanjutan.”
Perkembangan ini hanyalah yang terbaru dari serangkaian kampanye jahat yang menargetkan sektor mata uang kripto, dengan pelaku ancaman terus-menerus mencari cara baru untuk mengalirkan dana dari dompet korban.
Pada bulan Agustus 2024, muncul rincian operasi penipuan mata uang kripto canggih yang dijuluki CryptoCore yang melibatkan penggunaan video palsu atau akun yang dibajak di platform media sosial seperti Facebook, Twitch, X, dan YouTube untuk memikat pengguna agar berpisah dengan aset mata uang kripto mereka dengan kedok cepat dan cepat. keuntungan mudah.
“Kelompok penipuan ini dan kampanye pemberian hadiahnya memanfaatkan teknologi deepfake, pembajakan akun YouTube, dan situs web yang dirancang secara profesional untuk menipu pengguna agar mengirimkan mata uang kripto mereka ke dompet para penipu,” kata peneliti Avast, Martin Chlumecký.
“Cara yang paling umum dilakukan adalah dengan meyakinkan calon korban bahwa pesan atau peristiwa yang dipublikasikan secara online adalah komunikasi resmi dari akun media sosial atau halaman acara terpercaya, sehingga membonceng kepercayaan yang terkait dengan merek, orang, atau acara yang dipilih.”
Kemudian minggu lalu, Check Point menjelaskan aplikasi Android jahat yang meniru protokol sumber terbuka WalletConnect yang sah untuk mencuri sekitar $70,000 dalam mata uang kripto dengan memulai transaksi penipuan dari perangkat yang terinfeksi.
