Tenga cuidado al descargar paquetes de Python desde PyPI: los investigadores han descubierto que algunos son maliciosos y buscan robar su botín de criptomonedas.
Los investigadores de ciberseguridad de ReversingLabs descubrieron recientemente siete paquetes de este tipo, cuyo objetivo es robar frases mnemotécnicas BIP39 de sus víctimas.
Una billetera de criptomonedas se protege de dos maneras: con una contraseña y con una frase mnemotécnica (un conjunto de 12 o 24 palabras aparentemente aleatorias). Cuando un usuario configura una billetera, genera una frase mnemotécnica y una contraseña. Se utiliza una contraseña para iniciar sesión en la billetera, mientras que la frase mnemotécnica se usa para restaurar la billetera, en caso de que sea necesario instalarla en un dispositivo o billetera de hardware diferente.
BIPClip lleva más de un año en funcionamiento
Al robar las frases, los piratas informáticos podrían cargar las billeteras de otras personas en sus propios dispositivos, obteniendo esencialmente acceso ilimitado a los fondos.
En total, los paquetes se descargaron casi 7500 veces, antes de que los investigadores notificaran a PyPI y al malware fue removido. Estos son sus nombres, así que asegúrate de no haberlos descargado:
jsBIP39-decrypt (126 descargas)
bip39-mnemonic-decrypt (689 descargas)
mnemonic_to_address (771 descargas)
escáner erc20 (343 descargas)
generador de direcciones públicas (1.005 descargas)
hashdecrypt (4,292 descargas)
hashdecrypts (225 descargas)
ReversingLabs denominó la campaña BIPClip y afirma que comenzó a principios de diciembre de 2022.
«Esta es sólo la última campaña de la cadena de suministro de software dirigida a los criptoactivos», dijo el investigador de seguridad Karlo Zanki en un informe compartido con TheHackerNoticias. «Confirma que las criptomonedas siguen siendo uno de los objetivos más populares para los actores que amenazan la cadena de suministro».
PyPI, al ser uno de los repositorios de paquetes Python más grandes y populares en Internet, suele ser el objetivo de ataques a la cadena de suministro. Los piratas informáticos frecuentemente se hacen pasar por paquetes legítimos, tratando de engañar a los desarrolladores para que descarguen versiones maliciosas que filtran sus datos confidenciales e implementan malware y ransomware. En un momento del año pasado, PyPl se vio obligado a suspender nuevos proyectos y registros de usuarios luego de una avalancha de malware.