Recentemente, um novo esquema de pacotes maliciosos foi descoberto no repositório PyPI, visando usuários de carteiras de criptomoedas como Atomic, Trust Wallet, MetaMask, Ronin, TronLink e Exodus. Esses pacotes, disfarçados de ferramentas de recuperação e gerenciamento de carteiras, na verdade desviavam dados sensíveis, incluindo chaves privadas e frases mnemônicas, comprometendo a segurança dos ativos digitais dos usuários.
De acordo com o pesquisador Yehuda Gelb, da Checkmarx, os pacotes maliciosos se apresentavam como utilitários capazes de extrair frases mnemônicas ou descriptografar dados de carteiras, funcionalidades que atraem usuários que buscam recuperar o acesso a suas carteiras de criptomoedas. No entanto, ao serem instalados e ativados, esses pacotes executavam a coleta de dados confidenciais, como históricos de transações e saldos, enviando essas informações para servidores remotos controlados pelos invasores.
Entre os pacotes maliciosos identificados estavam:
- atomicdecoderss (366 downloads)
- trondecoderss (240 downloads)
- phantomdecoderss (449 downloads)
- trustdecoderss (466 downloads)
- ExodusDecoderss (422 downloads)
- walletdecoderss (232 downloads)
A funcionalidade maliciosa nesses pacotes era acionada apenas após certas funções serem chamadas, tornando a detecção ainda mais difícil. Em vez de incluir diretamente o endereço de comando e controle (C2) nos pacotes, os invasores usaram uma técnica chamada “Dead Drop Resolver“, que permite a recuperação dinâmica do endereço do servidor. Isso permite uma maior flexibilidade para os atacantes, facilitando a migração para uma infraestrutura diferente, caso os servidores de C2 sejam derrubados.
Essa descoberta é mais um exemplo da crescente sofisticação dos ataques direcionados ao ecossistema de criptomoedas. A confiança nas bibliotecas de código aberto, como o PyPI, e a natureza enganosa desses pacotes tornam esses ataques especialmente perigosos, visto que eles exploram uma base de usuários em busca de ferramentas legítimas para recuperar ou gerenciar carteiras. Esses incidentes também destacam a importância de revisar minuciosamente as dependências do código e utilizar medidas de segurança avançadas para evitar a inserção de software malicioso.
Além desses ataques via repositórios de código aberto, outros métodos fraudulentos também têm sido empregados, como campanhas envolvendo deepfakes e sequestro de contas em plataformas sociais. Recentemente, operações de golpes, como o CryptoCore, usaram vídeos falsos para enganar vítimas a transferirem seus ativos de criptomoedas para carteiras controladas por golpistas, prometendo retornos fáceis e rápidos.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.