Cazadores de amenazas han descubierto un conjunto de siete paquetes en el repositorio Python Package Index (PyPI) que están diseñados para robar frases nemotécnicas BIP39 utilizadas para recuperar las claves privadas de una billetera criptomonetaria. La campaña de ataque en la cadena de suministro de software ha sido llamada BIPClip por ReversingLabs.
Los paquetes fueron descargados en total 7,451 veces antes de ser eliminados de PyPI. Los paquetes identificados incluyen mnemonic_to_address, public-address-generator, erc20-scanner y hashdecrypts. Estos paquetes están diseñados para extraer información y exfiltrarla a un servidor controlado por los actores de amenazas.
«BIPClip es solo la última campaña de la cadena de suministro de software que apunta a los activos de criptomonedas», dijo el investigador de seguridad Karlo Zanki. «Esto confirma que las criptomonedas siguen siendo uno de los objetivos más populares para los actores de amenazas de la cadena de suministro».
Los actores detrás de la campaña fueron cuidadosos para evitar la detección. Uno de los paquetes en cuestión – mnemonic_to_address – carecía de cualquier funcionalidad maliciosa salvo listar bip39-mnemonic-decrypt como su dependencia, que contenía el componente malicioso.
Por otro lado, hashdecrypts funciona de manera diferente ya que contiene en sí mismo código casi idéntico para recolectar los datos. Un examen más detallado del historial de compromisos del repositorio revela que la campaña ha estado en marcha durante más de un año.
Los hallazgos subrayan las amenazas de seguridad que acechan en los repositorios de paquetes de código abierto. Además, los proyectos abandonados se están convirtiendo en un vector atractivo para que los actores de amenazas tomen el control de las cuentas de los desarrolladores y publiquen versiones troyanizadas que podrían allanar el camino para ataques de la cadena de suministro.
Es importante tomar medidas para evitar que los activos digitales abandonados sean utilizados malintencionadamente. Con los riesgos de seguridad cada vez más presentes, es fundamental para las organizaciones contar con herramientas de seguridad y monitoreo para detectar amenazas en los repositorios de paquetes de código abierto y prevenir posibles ataques.
Vía The Hacker News