Com os valores do Bitcoin pairando acima de US$ 70.000, a criptomoeda se tornou um grande negócio novamente. Portanto, não é nenhuma surpresa que a empresa de segurança cibernética ReversingLabs tenha descoberto uma nefasta campanha de hackers destinada a roubar frases de recuperação de carteiras de criptomoedas. E essa campanha usa Python como base.
Apelidado de “BIPClip”, ele explora habilmente o Python Package Index (PyPI) disfarçando-se de uma útil biblioteca de código aberto. Esta operação sofisticada envolve sete pacotes de código aberto engenhosamente elaborados, cada um com múltiplas versões. Esses pacotes têm como alvo as frases mnemônicas baseadas no padrão Bitcoin Improvement Proposal 39 (BIP39).
Frases Mnemônicas BIP39
As frases BIP39 são a base da segurança da carteira criptografada. Eles são usados para gerar uma semente binária que, por sua vez, cria carteiras Bitcoin determinísticas. Essas carteiras podem ser compartilhadas perfeitamente entre sistemas, usando um conjunto de 2.048 palavras que são mais fáceis de serem lembradas pelos humanos do que as representações iniciais binárias ou hexadecimais tradicionais.
É claro que, com apenas 2.048 palavras, era apenas uma questão de tempo até que os hackers as explorassem.
ReversingLabs descobriu inicialmente dois pacotes PyPI, mnemônico_para_endereço e bip39_mnemonic_decryptque são usados para exfiltrar dados confidenciais usados para proteger carteiras de criptomoedas. Mnemônico_para_endereço atua como um pacote “limpo” com o malicioso bip39_mnemonic_decrypt listado como uma dependência. Mnemônico_para_endereço implementa sua funcionalidade anunciada de criar uma semente a partir da frase mnemônica secreta do usuário. Isso é feito encaminhando os dados BIP39 para funções importadas de um projeto legítimo: a conta eth do Ethereum.
Até agora tudo bem. Mas então a dependência de arquivos maliciosos entra em ataque. Ele faz isso codificando a senha mnemônica fornecida usando Base64 e, em seguida, enviando-a para o servidor de exfiltração usando uma solicitação HTTP POST. Ele disfarça ainda mais a senha, ocultando-a no campo de dados “licença”.
Uma complexa teia de dependências
O mergulho profundo do ReversingLabs na mecânica do BIPClip revelou uma complexa rede de dependências projetadas para evitar a detecção. A furtividade da operação é sublinhada pela descoberta de pacotes adicionais, como o HashSnake, no início de março, ampliando ainda mais o alcance da campanha BIPClip. Esta estratégia de camuflagem, juntamente com o uso deliberado de contas descartáveis de mantenedores do PyPI, ressalta até onde esses invasores irão para mascarar suas verdadeiras intenções.
Apesar da engenhosidade deste ataque em esconder os seus rastos, o impacto geral parece ter sido mitigado rapidamente, com os pacotes maliciosos removidos do PyPI logo após a sua descoberta. No entanto, o número de downloads antes da sua remoção sugere uma propagação potencialmente mais ampla do que o previsto, destacando os riscos contínuos colocados pelos ataques à cadeia de fornecimento de software.
Embora você possa ter se esquivado dessa vez, as descobertas do ReversingLabs servem como um lembrete claro das ameaças persistentes que o setor de criptomoedas enfrenta. Se você trabalha com criptomoedas, deve reforçar suas defesas contra essas ameaças insidiosas.
Afinal, assim como o famoso ladrão de bancos da década de 1920, Willie Sutton, supostamente disse quando lhe perguntaram por que ele roubou bancos: “Porque é onde está o dinheiro”. Hoje, as carteiras criptográficas estão onde está o dinheiro.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
Steven J. Vaughan-Nichols, também conhecido como sjvn, tem escrito sobre tecnologia e negócios de tecnologia desde que CP/M-80 era o sistema operacional de PC de última geração, 300bps era uma conexão rápida à Internet, WordStar era o estado da tecnologia. – processador de texto artístico, e gostamos.
Este site utiliza cookies para melhorar sua experiência de navegação. Ao continuar, você concorda com o uso de cookies. Para mais informações, consulte nossa Política de Privacidade.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.