Ferramentas falsas de recuperação de carteiras criptográficas no PyPI roubam dados de usuários

Um novo conjunto de pacotes maliciosos foi descoberto no repositório Python Package Index (PyPI), disfarçado como ferramentas de recuperação e gerenciamento de carteiras de criptomoedas.

“O ataque mirava usuários de carteiras populares como Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus e outras importantes no ecossistema de criptomoedas”, afirmou o pesquisador da Checkmarx, Yehuda Gelb, em uma análise publicada na terça-feira.

Esses pacotes maliciosos se apresentavam como utilitários para extrair frases mnemônicas e descriptografar dados de carteiras, aparentando fornecer funcionalidades úteis para quem precisava recuperar ou gerenciar suas criptomoedas. No entanto, ocultavam códigos projetados para roubar chaves privadas, frases mnemônicas e outras informações confidenciais, como históricos de transações e saldos das carteiras.

Antes de serem removidos do repositório, os pacotes já haviam sido baixados centenas de vezes:

• atomicdecoders (366 downloads)
• trondecoderss (240 downloads)
• phantomdecoderss (449 downloads)
• trustdecoderss (466 downloads)
• exodusdecoderss (422 downloads)
• walletdecoderss (232 downloads)
• ccl-localstoragerss (335 downloads)
• exodushcates (415 downloads)
• cipherbcryptors (450 downloads)
• ccl_leveldbases (407 downloads)

De acordo com a Checkmarx, os pacotes foram deliberadamente nomeados para atrair desenvolvedores do setor de criptomoedas. Para parecerem legítimos, incluíam descrições detalhadas com instruções de instalação, exemplos de uso e, em alguns casos, até “melhores práticas” para o uso em ambientes virtuais.

O engano não parou por aí. Os responsáveis pela campanha conseguiram falsificar estatísticas de downloads, fazendo com que os pacotes parecessem populares e confiáveis.

Seis dos pacotes identificados dependiam de um componente malicioso chamado cipherbcryptors para executar o malware, enquanto outros utilizavam o pacote ccl_leveldbases para ofuscar ainda mais suas intenções maliciosas.

Um aspecto notável dessa campanha é que a funcionalidade maliciosa só era ativada quando certas funções específicas eram chamadas, diferindo de ataques comuns onde o comportamento maligno geralmente começa logo na instalação. Os dados roubados eram então exfiltrados para servidores remotos.

“O atacante implementou uma camada extra de segurança ao não codificar o endereço do servidor de comando e controle diretamente nos pacotes”, explicou Gelb. “Em vez disso, eles utilizaram recursos externos para buscar essas informações dinamicamente.”

Essa técnica, chamada dead drop resolver, dá aos invasores maior flexibilidade para atualizar as informações do servidor sem precisar modificar os pacotes originais. Também facilita a migração para uma infraestrutura diferente caso os servidores sejam derrubados.

Conheça a plataforma de segurança AUSTERO!
Acesse o site para saber mais informações!

Gelb enfatizou que o ataque explorou a confiança na comunidade de código aberto e a utilidade aparente dessas ferramentas, potencialmente impactando um grande número de usuários de criptomoedas. “A complexidade do ataque – desde sua apresentação enganosa até a execução de funções maliciosas dinâmicas – destaca a necessidade de medidas de segurança rigorosas e monitoramento contínuo”, acrescentou.

Essa descoberta é apenas mais um exemplo de campanhas maliciosas voltadas ao setor de criptomoedas, onde criminosos constantemente buscam novas maneiras de drenar fundos das carteiras de suas vítimas.

Em agosto de 2024, foi revelada outra operação fraudulenta sofisticada chamada CryptoCore, que utilizava vídeos falsos e contas sequestradas em plataformas de mídia social como Facebook, Twitch, X (anteriormente Twitter) e YouTube. O objetivo era enganar usuários, convencendo-os a transferir seus ativos de criptomoedas em troca de promessas de ganhos fáceis.

“Esse grupo de golpistas utiliza deepfakes, contas sequestradas no YouTube e sites bem elaborados para enganar as vítimas e fazê-las enviar suas criptomoedas para carteiras controladas pelos golpistas”, afirmou Martin Chlumecký, pesquisador da Avast.

A técnica mais comum envolve convencer a vítima de que mensagens ou eventos publicados são comunicações oficiais de fontes confiáveis, aproveitando-se da confiança associada a essas marcas ou pessoas.

Na semana passada, a Check Point revelou a existência de um aplicativo Android malicioso que se passava pelo legítimo protocolo de código aberto WalletConnect, roubando aproximadamente 70 mil dólares em criptomoedas ao iniciar transações fraudulentas em dispositivos infectados.