Okt 30, 2024Ravie LakshmananCybercrim / Cryptocurrency Watafiti wa Cybersecurity wamegundua kifurushi kipya hasidi cha Python ambacho hujifanya kuwa chombo cha biashara cha pesa taslimu lakini kina utendakazi ulioundwa kuiba data nyeti na kuondoa mali kutoka kwa pochi za crypto za wahasiriwa. Kifurushi, kilichopewa jina la “CryptoAITools,” inasemekana kilisambazwa kupitia Python Package Index (PyPI) na hazina za GitHub bandia. Ilipakuliwa zaidi ya mara 1,300 kabla ya kuondolewa kwenye PyPI. “Programu hasidi iliwashwa kiotomatiki inaposakinishwa, ikilenga mifumo ya uendeshaji ya Windows na MacOS,” Checkmarx alisema katika ripoti mpya iliyoshirikiwa na The Hacker News. “Kiolesura cha picha cha udanganyifu (GUI) kilitumika kuvuruga vic4ms huku programu hasidi ikifanya ac4vi4es zake hasidi chinichini.” Kifurushi kimeundwa ili kuachilia tabia yake hasidi mara baada ya usakinishaji kupitia msimbo unaoingizwa kwenye faili yake ya “__init__.py” ambayo huamua kwanza ikiwa mfumo unaolengwa ni Windows au macOS ili kutekeleza toleo linalofaa la programu hasidi. Iliyopo ndani ya nambari ya kuthibitisha ni utendaji wa msaidizi ambao una jukumu la kupakua na kutekeleza mizigo ya ziada, na hivyo kuanzisha mchakato wa maambukizi ya hatua nyingi. Hasa, mizigo hupakuliwa kutoka kwa tovuti bandia (“coinsw[.]app”) ambayo inatangaza huduma ya roboti ya kibiashara kwa njia fiche, lakini kwa kweli ni jaribio la kukipa kikoa uhalali msanidi programu ataamua kukiendea moja kwa moja kwenye kivinjari. Mbinu hii haimsaidii tu mwigizaji tishio kukwepa kutambuliwa, lakini pia huwaruhusu kupanua uwezo wa programu hasidi kwa hiari yao kwa kurekebisha tu mizigo ya malipo iliyopangishwa kwenye tovuti inayoonekana kuwa halali. Kipengele muhimu cha mchakato wa kuambukizwa ni ujumuishaji wa kipengee cha GUI ambacho hutumika kuvuruga waathiriwa kwa njia ya usanidi bandia. mchakato wakati programu hasidi inavuna data nyeti kutoka kwa mifumo kwa siri “Programu hasidi ya CryptoAITools hufanya operesheni ya wizi wa data, ikilenga habari nyingi nyeti kwenye mfumo ulioambukizwa,” Checkmarx alisema “Lengo la msingi ni kukusanya data yoyote inaweza kumsaidia mshambulizi kuiba mali ya cryptocurrency.” Hii ni pamoja na data kutoka kwa pochi za cryptocurrency (Bitcoin, Ethereum, Exodus, Atomic, Electrum, n.k.), manenosiri yaliyohifadhiwa, vidakuzi, historia ya kuvinjari, viendelezi vya sarafu ya siri, funguo za SSH, faili zilizohifadhiwa katika Vipakuliwa, Hati, saraka za Eneo-kazi zinazorejelea fedha za siri, manenosiri, na taarifa za kifedha, na Telegramu. Kwenye mashine za Apple macOS, mwizi pia huchukua hatua ya kukusanya data kutoka kwa Vidokezo vya Apple na programu za Vijiti. Taarifa iliyokusanywa hatimaye hupakiwa kwenye gofile[.]huduma ya kuhamisha faili ya io, baada ya hapo nakala ya ndani inafutwa. Checkmarx alisema pia iligundua muigizaji tishio anayesambaza programu hasidi ya mwizi kupitia hazina ya GitHub inayoitwa Meme Token Hunter Bot ambayo inadai kuwa “bot ya biashara inayoendeshwa na AI ambayo huorodhesha ishara zote za meme kwenye mtandao wa Solana na kufanya biashara ya wakati halisi mara tu inapofanya biashara. inachukuliwa kuwa salama.” Hii inaonyesha kuwa kampeni pia inalenga watumiaji wa sarafu-fiche wanaochagua kuunda na kuendesha msimbo moja kwa moja kutoka kwa GitHub. Hifadhi, ambayo bado inafanya kazi kama ilivyoandikwa, imegawanywa mara moja na kutiwa nyota mara 10. Pia inasimamiwa na waendeshaji ni chaneli ya Telegramu ambayo inakuza hazina iliyotajwa hapo juu ya GitHub, na pia inatoa usajili wa kila mwezi na usaidizi wa kiufundi. “Mtazamo huu wa majukwaa mengi humruhusu mshambulizi kurusha wavu mpana, uwezekano wa kuwafikia waathiriwa ambao wanaweza kuwa waangalifu kuhusu jukwaa moja lakini waamini lingine,” Checkmarx alisema. “Kampeni ya programu hasidi ya CryptoAITools ina madhara makubwa kwa waathiriwa na jumuiya pana zaidi ya sarafu-fiche. Watumiaji walioweka nyota au kugawa hazina hasidi ya ‘Meme-Token-Hunter-Bot’ ni waathiriwa watarajiwa, na hivyo kupanua kwa kiasi kikubwa ufikiaji wa shambulio hilo.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.