کمپین بدافزار مهاجم در مخزن پایتون هدف قرار دادن دادههای کیف پولهای رمزنگاری: تحقیقات
تیم تحقیقات تهدید در Checkmarx یک کمپین بدافزار رمزی مهاجم جدید را در مخزن PyPI کشف کردهاند. عاملین تهدید به عنوان ابزارهای تجارت رمزنگاری تظاهر میکنند تا اطلاعات حساس را دزدیده و کیف پولهای رمزنگاری قربانیان را تخلیه کنند.
بسته مخرب با نام “CryptoAITools” به مخازن PyPI و GitHub بارگذاری شده است و به عنوان ابزارهای تجارت رمزنگاری معتبر تظاهر میکند، یافتهها نشان داده است.
حملهگر از یک رابط کاربری گرافیکی فریبکارانه (GUI) استفاده کرد تا قربانیان را مشغول نگه دارد در حالی که بدافزار عملیاتهای مخرب را انجام میداد. علاوه بر این، بدافزار پس از نصب به صورت خودکار فعال میشود و سیستمعاملهای ویندوز و macOS را هدف قرار میدهد.
“بدافزار CryptoAITools از یک فرآیند پیچیده عفونت چندمرحلهای استفاده میکند و از یک وبسایت جعلی برای انتقال بارهای ثانویه خود بهرهبرداری میکند.”
پس از عفونت اولیه از طریق بسته PyPI، بدافزار شروع به اجرای اسکریپتهایی برای macOS و ویندوز به طور جداگانه میکند.
“این اسکریپتها مسئول دریافت اجزای مخرب اضافی از یک وبسایت فریبکارانه هستند،” تیم تحقیقاتی در بیانیهای منتشر شده به Cryptonews نوشتند.
محقق Checkmarx Yehuda Gelb در تحلیلی که اوایل این ماه منتشر شد گفت که حملهگر کاربران کیف پولهای Atomic, Trust Wallet, Metamask , Ronin, TronLink, Exodus و دیگر کیف پولهای برجسته رمزنگاری را هدف قرار داده است.
“این بستهها به عنوان ابزارهایی برای استخراج عبارات گمانی و رمزگشایی اطلاعات کیف پول خود را معرفی کردند که به نظر میرسید کارکرد ارزشمندی برای کاربران رمزنگاری درگیر بهبودیابی یا مدیریت کیف پول ارائه میدادند.”
علاوه بر این، بدافزار CryptoAITools عملیات گستردهای از دزدیدن دادهها انجام داده و دادههای مرورگر مانند رمزهای ذخیره شده و تاریخچه مرور را هدف قرار داده است.
در سیستمهای MacOS، بدافزار همچنین دادههای از اپلیکیشنهای Apple Notes و Stickies را هدف قرار داده است.
فرآیند اکسفیلتر دزدیدن اطلاعات بدافزار CryptoAITools
حملهگران ابتدا با جمعآوری دادههای ذخیرهشده در پوشههای خانگی کاربران شروع کردند. اسکریپت استخراج برای هر فایل تغییر میکند و بدافزار فایل را به gofile.io با استفاده از API آنها بارگذاری میکند.
سپس حملهگر لینک متأثر را برای دانلود از طریق یک ربات تلگرام ارسال میکند، و از تاکتیکهای مختلف برای جذب قربانیان بالقوه استفاده میکند.
“تحقیقات مداوم ما در این کمپین نشان داد که حملهگر از وکتورهای عفونت متعدد و تاکتیکهای مهندسی اجتماعی استفاده میکند،” تیم اشاره کردند. “این حمله به بسته پایتون مخرب در PyPI محدود نمیشود، بلکه به سایر پلتفرمها و روشها گسترش میابد.”
کمپین بدافزار CryptoAITools پیامدهای جدی برای قربانیان و جامعه گستردهتر ارزهای دیجیتال دارد، از جمله از دست دادن مالی فوری. تاثیر آن همچنین شامل خطرات بلندمدت سرقت هویت و نقض حریم خصوصی است.