Una campaña de malware reciente que aprovechó PyPI para robar la criptomoneda de las personas no solo sigue activa, sino que se ha expandido significativamente en los últimos tres meses.
Según un nuevo informe de los investigadores de seguridad cibernética Phylum, los actores de amenazas crearían paquetes de Python maliciosos y los cargarían en PyPI, el repositorio de código más grande del lenguaje de programación.
Desarrolladores (se abre en una pestaña nueva) luego descargarían estos paquetes para acelerar el proceso de desarrollo, comprometiéndose efectivamente a sí mismos y a todos los que usan sus productos.
PyPl typosquatting
Los actores de amenazas se involucrarían en typosquatting, una técnica en la que el paquete malicioso tiene un nombre casi idéntico al de un paquete legítimo, con la diferencia de una sola letra o símbolo. De esa forma, los desarrolladores que escriben mal el nombre mientras buscan paquetes específicos podrían terminar infectando sus productos sin saberlo. Además, si buscan paquetes y encuentran varios con nombres similares, es posible que no tengan el tiempo o la paciencia para analizarlos a fondo.
Cuando esta campaña se detectó por primera vez en 2022, los investigadores encontraron exactamente 27 paquetes, pero este número ahora aumentó a 451. Los actores de amenazas se harían pasar por algunos de los paquetes más populares, cada uno de los cuales tendría entre 13 y 38 versiones con errores tipográficos.
Aquellos que descarguen el paquete malicioso podrían terminar con el robo de su criptomoneda. El malware instalaría un complemento en algunos de los navegadores más populares (Chrome, Edge, Brave, Opera), que monitorearía el portapapeles en busca de direcciones de criptomonedas. Si detecta uno, lo reemplazará con otra dirección que está codificada en el complemento durante el pegado.
La idea es que las personas no memoricen las billeteras criptográficas, sino que las copien y peguen al enviar fondos. Las direcciones de billetera son una larga cadena de caracteres aleatorios, lo que hace que sea prácticamente imposible recordar una. También significa que al copiar y pegar una, la dirección se puede intercambiar con relativa facilidad, sin que la víctima se dé cuenta de nada (a menos que inspeccione ambas direcciones para asegurarse de que sean idénticas, lo cual es una buena práctica recomendada).
Los usuarios que no tienen cuidado pueden terminar fácilmente perdiendo todas sus criptomonedas en una transacción que no se puede revertir (a menos que se haya enviado a un tercero, como un intercambio, lo cual es muy poco probable).
Vía: BleepingComputer (se abre en una pestaña nueva)