Descubren paquete de Python que ataca billeteras de criptomonedas con código malicioso
Los investigadores de ciberseguridad han descubierto un nuevo paquete malicioso de Python que se hace pasar por una herramienta de comercio de criptomonedas, la cual alberga una funcionalidad diseñada para robar datos confidenciales y drenar los activos de las billeteras digitales de las víctimas.
El paquete, llamado "CryptoAITools", se ha distribuido a través de Python Package Index (PyPI) y de repositorios falsos de GitHub. Además, se descargó más de 1300 veces antes de que lo eliminaran de PyPI. Este malware se activó automáticamente al instalarse y afectó tanto a los sistemas operativos de Windows como macOS, según especialistas que fueron consultados por diversos medios digitales.
Del mismo modo, se empleó una interfaz gráfica de usuario (GUI) engañosa para distraer a las víctimas mientras el malware realizaba sus actividades maliciosas en segundo plano. Este paquete ha sido diseñado para desatar su comportamiento malicioso automáticamente después de la instalación mediante un código inyectado en su archivo llamado “__init__.py”, que primero puede determinar si el sistema operativo de destino es Windows o macOS para poder ejecutar la versión adecuada de este malware.
Dentro de este código hay una función auxiliar que se encarga de descargar y ejecutar cargas útiles adicionales, dando inicio a un proceso de infección de varias etapas. Las cargas útiles pueden descargarse de un sitio web falso, el cual anuncia un servicio de bot de comercio de criptomonedas. Sin embargo, es un intento de dar al dominio una apariencia de legitimidad en caso de que un desarrollador decida acceder a él directamente en un navegador web.
Este enfoque no solo ayuda al hacker malicioso a evadir la detección, también le permite aplicar las capacidades del malware a voluntad, modificando simplemente las cargas útiles alojadas en el sitio web de apariencia legítima.
Un aspecto notable del proceso de infección es la incorporación de un componente GUI, el cual sirve para distraer a las víctimas a través de un proceso de configuración falso, mientras el software malicioso recopila de forma encubierta datos confidenciales de los sistemas implicados.
Igualmente, el malware “CryptoAITools” puede llevar a cabo una extensa operación de robo de datos, la cual tiene como objetivo una amplia gama de información confidencial en el sistema que ha sido infectado. Según la información de los especialistas consultados, el objetivo principal es recopilar cualquier dato que pueda ayudar al ciber delincuente a robar activos de criptomonedas.
Entre los datos sensibles se incluyen datos de billeteras de criptomonedas como Bitcoin, Ethereum, Exodus, Atomic, Electrum, entre otros. Además, puede robar contraseñas guardada,s historial de navegación, extensiones de criptomonedas, cookies, claves SSH, documentos, archivos almacenados en descargas y directorios de escritorio que hacen referencia a criptomonedas. Además, pueden acceder a contraseñas, información financiera y datos de Telegram.
En lo referido a las máquinas macOS de Apple, los ciberdelincuentes toman la medida de recopilar datos de las aplicaciones Apple Notes y Stickies. La información recopilada se carga al servicio de transferencia de archivos finalmente y después se elimina la copia local.
Los expertos descubrieron que los actores de amenazas distribuían el mismo malware a través de un repositorio de GitHub llamado “Meme Token Hunter Bot”, el cual afirma ser un bot de comercio impulsado por IA, que enumera todos los tokens meme de la red Solana y realiza transacciones en tiempo real, una vez que se consideran seguros.
