В репозитории Python Package Index (PyPI) недавно были обнаружены семь пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютных кошельков.
Операция, получившая название BIPClip и выявленная специалистами из компании ReversingLabs, нацелена на разработчиков, работающих над проектами по созданию и защите криптовалютных кошельков.
Эти пакеты, загруженные суммарно 7451 раз до их удаления с PyPI, представляют собой следующий список:
- jsBIP39-decrypt (126 загрузок);
- bip39-mnemonic-decrypt (689 загрузок);
- mnemonic_to_address (771 загрузка);
- erc20-scanner (343 загрузки);
- public-address-generator (1005 загрузок);
- hashdecrypt (4292 загрузки);
- hashdecrypts (225 загрузок).
Примечательно, что вредоносная кампания BIPClip была начата довольно давно – 4 декабря 2022 года. Именно тогда был впервые опубликован предпоследний пакет из списка выше – “hashdecrypt”.
Один из пакетов – “mnemonic_to_address” – не содержал вредоносного кода, за исключением указания “bip39-mnemonic-decrypt” в качестве зависимости, где и был скрыт вредоносный компонент. Два других пакета – “public-address-generator” и “erc20-scanner” – работали аналогичным образом, пересылая мнемонические фразы на сервер управления злоумышленников. В свою очередь, “hashdecrypts” содержал практически идентичный код для извлечения данных.
Кроме того, в составе этих пакетов были обнаружены ссылки на профиль GitHub под названием “HashSnake”, в котором рекламируется репозиторий hCrypto для извлечения мнемонических фраз из криптовалютных кошельков с использованием пакета “hashdecrypts”. История коммитов репозитория показывает, что кампания длится уже более года.
Аккаунт HashSnake также присутствует в Telegram и YouTube, где рекламируются соответствующие программные продукты. Например, 7 сентября 2022 года было опубликовано видео с инструментом для проверки криптовалютных журналов xMultiChecker 2.0.
Обнаружение этих пакетов подчёркивает угрозы безопасности, связанные с репозиториями открытого кода, особенно когда для распространения вредоносного ПО используются законные сервисы, такие как GitHub.
Кроме того, проекты, которые больше не обновляются, становятся привлекательными целями для злоумышленников, которые могут захватить контроль над аккаунтами разработчиков и публиковать троянизированные версии продуктов, открывая путь для масштабных атак на цепочку поставок.
Причём хакеры способны не просто единоразово скомпрометировать цепочку поставок, но и оставаться незамеченными на протяжении долгого времени, что дополнительно увеличивает риски как для разработчиков, так и для простых пользователей.