En otra señal de que los actores de amenazas siempre están buscando nuevas formas de engañar a los usuarios para que descarguen malware, ha salido a la luz que la plataforma de preguntas y respuestas (Q&A) conocida como Stack Exchange ha sido utilizada de forma abusiva para dirigir a desarrolladores desprevenidos a paquetes Python falsos capaces de vaciar sus billeteras de criptomonedas. «Al instalarse, este código se ejecutaría automáticamente, poniendo en marcha una cadena de eventos diseñados para comprometer y controlar los sistemas de la víctima, al mismo tiempo que exfiltra sus datos y vacía sus billeteras de criptomonedas», dijeron los investigadores de Checkmarx Yehuda Gelb y Tzachi Zornstain en un informe compartido con The Hacker News. La campaña, que comenzó el 25 de junio de 2024, destacó específicamente a los usuarios de criptomonedas involucrados con Raydium y Solana. La lista de paquetes fraudulentos descubiertos como parte de la actividad se enumera a continuación: los paquetes se han descargado colectivamente 2082 veces. Ya no están disponibles para descargar desde el repositorio Python Package Index (PyPI). El malware oculto en el paquete servía como ladrón de información, arrojando una amplia red de datos, incluidas contraseñas de navegadores web, cookies y detalles de tarjetas de crédito, billeteras de criptomonedas e información asociada con aplicaciones de mensajería como Telegram, Signal y Session. También incluía capacidades para capturar capturas de pantalla del sistema y buscar archivos que contuvieran códigos de recuperación de GitHub y claves de BitLocker. La información recopilada se comprimía y se exfiltraba a dos bots de Telegram diferentes mantenidos por el actor de la amenaza. Por otra parte, un componente de puerta trasera presente en el malware otorgaba al atacante acceso remoto persistente a las máquinas de las víctimas, lo que permitía posibles exploits futuros y compromisos a largo plazo. La cadena de ataque abarca varias etapas, y el paquete «raydium» enumera «spl-types» como una dependencia en un intento de ocultar el comportamiento malicioso y dar a los usuarios la impresión de que era legítimo. Un aspecto notable de la campaña es el uso de Stack Exchange como vector para impulsar la adopción mediante la publicación de respuestas aparentemente útiles que hacen referencia al paquete en cuestión a las preguntas de los desarrolladores relacionadas con la realización de transacciones de intercambio en Raydium utilizando Python. «Al elegir un hilo con alta visibilidad (que obtuvo miles de visitas), el atacante maximizó su alcance potencial», dijeron los investigadores, y agregaron que lo hicieron para «dar credibilidad a este paquete y asegurar su adopción generalizada». Si bien la respuesta ya no existe en Stack Exchange, The Hacker News encontró referencias a «raydium» en otra pregunta sin respuesta publicada en el sitio de preguntas y respuestas con fecha del 9 de julio de 2024: «He estado luchando durante noches para obtener un intercambio en la red Solana que se ejecuta en Python 3.10.2 instalado Solana, soldaduras y Raydium, pero no puedo hacer que funcione», dijo un usuario. También han aparecido referencias a «raydium-sdk» en una publicación titulada «Cómo comprar y vender tokens en Raydium usando Python: una guía paso a paso de Solana» que fue compartida por un usuario llamado SolanaScribe en la plataforma de publicación social Medium el 29 de junio de 2024. Actualmente no está claro cuándo se eliminaron los paquetes de PyPI, ya que otros dos usuarios respondieron a la publicación de Medium pidiendo ayuda al autor sobre la instalación de «raydium-sdk» hace tan solo seis días. Checkmarx le dijo a The Hacker News que la publicación no es obra del actor de amenazas. Esta no es la primera vez que los actores maliciosos recurren a un método de distribución de malware de este tipo. A principios de mayo, Sonatype reveló cómo se promocionó un paquete llamado pytoileur a través de otro servicio de preguntas y respuestas llamado Stack Overflow para facilitar el robo de criptomonedas. En todo caso, el desarrollo es una prueba de que los atacantes están aprovechando la confianza en estas plataformas impulsadas por la comunidad para impulsar malware, lo que lleva a ataques a la cadena de suministro a gran escala. «Un único desarrollador comprometido puede introducir vulnerabilidades sin darse cuenta en el ecosistema de software de toda una empresa, afectando potencialmente a toda la red corporativa», dijeron los investigadores. «Este ataque sirve como una llamada de atención tanto para las personas como para las organizaciones para que reevalúen sus estrategias de seguridad». El desarrollo se produce cuando Fortinet FortiGuard Labs detalló un paquete PyPI malicioso llamado zlibxjson que incluía funciones para robar información confidencial, como tokens de Discord, cookies guardadas en Google Chrome, Mozilla Firefox, Brave y Opera, y contraseñas almacenadas de los navegadores. La biblioteca atrajo un total de 602 descargas antes de que fuera retirada de PyPI. «Estas acciones pueden provocar un acceso no autorizado a las cuentas de los usuarios y la exfiltración de datos personales, lo que clasifica claramente el software como malicioso», dijo la investigadora de seguridad Jenna Wang. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.