کمپین بدافزار مهاجم در مخزن پایتون هدف قرار دادن داده‌های کیف پول‌های رمزنگاری: تحقیقات

تیم تحقیقات تهدید در Checkmarx یک کمپین بدافزار رمزی مهاجم جدید را در مخزن PyPI کشف کرده‌اند. عاملین تهدید به عنوان ابزارهای تجارت رمزنگاری تظاهر می‌کنند تا اطلاعات حساس را دزدیده و کیف پول‌های رمزنگاری قربانیان را تخلیه کنند.

بسته مخرب با نام “CryptoAITools” به مخازن PyPI و GitHub بارگذاری شده است و به عنوان ابزارهای تجارت رمزنگاری معتبر تظاهر می‌کند، یافته‌ها نشان داده است.

حمله‌گر از یک رابط کاربری گرافیکی فریب‌کارانه (GUI) استفاده کرد تا قربانیان را مشغول نگه دارد در حالی که بدافزار عملیات‌های مخرب را انجام می‌داد. علاوه بر این، بدافزار پس از نصب به صورت خودکار فعال می‌شود و سیستم‌عامل‌های ویندوز و macOS را هدف قرار می‌دهد.

“بدافزار CryptoAITools از یک فرآیند پیچیده عفونت چندمرحله‌ای استفاده می‌کند و از یک وب‌سایت جعلی برای انتقال بارهای ثانویه خود بهره‌برداری می‌کند.”

پس از عفونت اولیه از طریق بسته PyPI، بدافزار شروع به اجرای اسکریپت‌هایی برای macOS و ویندوز به طور جداگانه می‌کند.

“این اسکریپت‌ها مسئول دریافت اجزای مخرب اضافی از یک وب‌سایت فریب‌کارانه هستند،” تیم تحقیقاتی در بیانیه‌ای منتشر شده به Cryptonews نوشتند.

محقق Checkmarx Yehuda Gelb در تحلیلی که اوایل این ماه منتشر شد گفت که حمله‌گر کاربران کیف پول‌های Atomic, Trust Wallet, Metamask , Ronin, TronLink, Exodus و دیگر کیف پول‌های برجسته رمزنگاری را هدف قرار داده است.

“این بسته‌ها به عنوان ابزارهایی برای استخراج عبارات گمانی و رمزگشایی اطلاعات کیف پول خود را معرفی کردند که به نظر می‌رسید کارکرد ارزشمندی برای کاربران رمزنگاری درگیر بهبودیابی یا مدیریت کیف پول ارائه می‌دادند.”

علاوه بر این، بدافزار CryptoAITools عملیات گسترده‌ای از دزدیدن داده‌ها انجام داده و داده‌های مرورگر مانند رمزهای ذخیره شده و تاریخچه مرور را هدف قرار داده است.

در سیستم‌های MacOS، بدافزار همچنین داده‌های از اپلیکیشن‌های Apple Notes و Stickies را هدف قرار داده است.

فرآیند اکسفیلتر دزدیدن اطلاعات بدافزار CryptoAITools

حمله‌گران ابتدا با جمع‌آوری داده‌های ذخیره‌شده در پوشه‌های خانگی کاربران شروع کردند. اسکریپت استخراج برای هر فایل تغییر می‌کند و بدافزار فایل را به gofile.io با استفاده از API آن‌ها بارگذاری می‌کند.

سپس حمله‌گر لینک متأثر را برای دانلود از طریق یک ربات تلگرام ارسال می‌کند، و از تاکتیک‌های مختلف برای جذب قربانیان بالقوه استفاده می‌کند.

“تحقیقات مداوم ما در این کمپین نشان داد که حمله‌گر از وکتورهای عفونت متعدد و تاکتیک‌های مهندسی اجتماعی استفاده می‌کند،” تیم اشاره کردند. “این حمله به بسته پایتون مخرب در PyPI محدود نمی‌شود، بلکه به سایر پلتفرم‌ها و روش‌ها گسترش میابد.”

کمپین بدافزار CryptoAITools پیامدهای جدی برای قربانیان و جامعه گسترده‌تر ارزهای دیجیتال دارد، از جمله از دست دادن مالی فوری. تاثیر آن همچنین شامل خطرات بلندمدت سرقت هویت و نقض حریم خصوصی است.