Com os valores do Bitcoin pairando acima de US$ 70.000, a criptomoeda se tornou um grande negócio novamente. Portanto, não é nenhuma surpresa que a empresa de segurança cibernética ReversingLabs tenha descoberto uma nefasta campanha de hackers destinada a roubar frases de recuperação de carteiras de criptomoedas. E essa campanha usa Python como base.
Apelidado de “BIPClip”, ele explora habilmente o Python Package Index (PyPI) disfarçando-se de uma útil biblioteca de código aberto. Esta operação sofisticada envolve sete pacotes de código aberto engenhosamente elaborados, cada um com múltiplas versões. Esses pacotes têm como alvo as frases mnemônicas baseadas no padrão Bitcoin Improvement Proposal 39 (BIP39).
As frases BIP39 são a base da segurança da carteira criptografada. Eles são usados para gerar uma semente binária que, por sua vez, cria carteiras Bitcoin determinísticas. Essas carteiras podem ser compartilhadas perfeitamente entre sistemas, usando um conjunto de 2.048 palavras que são mais fáceis de serem lembradas pelos humanos do que as representações iniciais binárias ou hexadecimais tradicionais.
É claro que, com apenas 2.048 palavras, era apenas uma questão de tempo até que os hackers as explorassem.
ReversingLabs descobriu inicialmente dois pacotes PyPI, mnemônico_para_endereço e bip39_mnemonic_decryptque são usados para exfiltrar dados confidenciais usados para proteger carteiras de criptomoedas. Mnemônico_para_endereço atua como um pacote “limpo” com o malicioso bip39_mnemonic_decrypt listado como uma dependência. Mnemônico_para_endereço implementa sua funcionalidade anunciada de criar uma semente a partir da frase mnemônica secreta do usuário. Isso é feito encaminhando os dados BIP39 para funções importadas de um projeto legítimo: a conta eth do Ethereum.
Até agora tudo bem. Mas então a dependência de arquivos maliciosos entra em ataque. Ele faz isso codificando a senha mnemônica fornecida usando Base64 e, em seguida, enviando-a para o servidor de exfiltração usando uma solicitação HTTP POST. Ele disfarça ainda mais a senha, ocultando-a no campo de dados “licença”.
O mergulho profundo do ReversingLabs na mecânica do BIPClip revelou uma complexa rede de dependências projetadas para evitar a detecção. A furtividade da operação é sublinhada pela descoberta de pacotes adicionais, como o HashSnake, no início de março, ampliando ainda mais o alcance da campanha BIPClip. Esta estratégia de camuflagem, juntamente com o uso deliberado de contas descartáveis de mantenedores do PyPI, ressalta até onde esses invasores irão para mascarar suas verdadeiras intenções.
Apesar da engenhosidade deste ataque em esconder os seus rastos, o impacto geral parece ter sido mitigado rapidamente, com os pacotes maliciosos removidos do PyPI logo após a sua descoberta. No entanto, o número de downloads antes da sua remoção sugere uma propagação potencialmente mais ampla do que o previsto, destacando os riscos contínuos colocados pelos ataques à cadeia de fornecimento de software.
Embora você possa ter se esquivado dessa vez, as descobertas do ReversingLabs servem como um lembrete claro das ameaças persistentes que o setor de criptomoedas enfrenta. Se você trabalha com criptomoedas, deve reforçar suas defesas contra essas ameaças insidiosas.
Afinal, assim como o famoso ladrão de bancos da década de 1920, Willie Sutton, supostamente disse quando lhe perguntaram por que ele roubou bancos: “Porque é onde está o dinheiro”. Hoje, as carteiras criptográficas estão onde está o dinheiro.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
