Los actores de amenazas han utilizado la plataforma de preguntas y respuestas Stack Exchange para dirigir a desarrolladores desprevenidos a paquetes de Python falsos capaces de drenar sus criptomonedas. La actividad maliciosa comenzó el 25 de junio de 2024, apuntando específicamente a usuarios de criptomonedas relacionados con Raydium y Solana. ‘
Los paquetes fraudulentos descubiertos se descargaron un total de 2,082 veces antes de ser eliminados del repositorio del Índice de Paquetes de Python (PyPI). El malware oculto actuaba como un ladrón de información, capturando datos como contraseñas, cookies, billeteras de criptomonedas y datos de aplicaciones de mensajería, entre otros.
Además, el malware tenía una puerta trasera que permitía a los atacantes acceso remoto persistente a las máquinas de las víctimas. La sofisticada cadena de ataque también utilizó Stack Exchange como un vector para promover la adopción mediante la publicación de respuestas útiles que referencian los paquetes maliciosos.
Esta táctica de distribución de malware no es nueva, lo que subraya la importancia de reevaluar las estrategias de seguridad tanto para individuos como para organizaciones. Otras instancias similares incluyen el uso de la plataforma Stack Overflow para promocionar paquetes maliciosos. Estos eventos evidencian cómo los atacantes aprovechan la confianza en las plataformas comunitarias para llevar a cabo ataques de cadena de suministro a gran escala.
Vía The Hacker News
