Các thợ săn tin tặc đã phát hiện ra một bộ bảy gói trên kho lưu trữ Python Package Index (PyPI) được thiết kế để đánh cắp các cụm từ ghi nhớ BIP39 được sử dụng để khôi phục khóa riêng của ví tiền điện tử.
Chiến dịch tấn công chuỗi cung ứng phần mềm đã được ReversingLabs đặt tên mã là BIPClip. Các gói đã được tải xuống tổng cộng 7.451 lần trước khi chúng bị xóa khỏi PyPI. Danh sách các gói như sau -
- jsBIP39-giải mã (126 lượt tải)
- bip39-mnemonic-decrypt (689 lượt tải)
- mnemonic_to_address (771 lượt tải)
- ERC20-scanner (343 lượt tải)
- Trình tạo địa chỉ công khai (1.005 lượt tải xuống)
- HashDecrypt (4.292 lượt tải)
- HashDecrypts (225 lượt tải xuống)
BIPClip, nhằm vào các nhà phát triển làm việc trong các dự án liên quan đến việc tạo và bảo mật ví tiền điện tử, được cho là đã hoạt động kể từ ít nhất là ngày 4 tháng 12 năm 2022, khi hashdecrypt lần đầu tiên được xuất bản lên cơ quan đăng ký.
"Đây chỉ là chiến dịch chuỗi cung ứng phần mềm mới nhất nhắm mục tiêu vào tài sản tiền điện tử", nhà nghiên cứu bảo mật Karlo Zanki cho biết trong một báo cáo được chia sẻ với The Hacker News. "Nó xác nhận rằng tiền điện tử tiếp tục là một trong những mục tiêu phổ biến nhất cho các tác nhân đe dọa chuỗi cung ứng."
Trong một dấu hiệu cho thấy các tác nhân đe dọa đằng sau chiến dịch đã cẩn thận để tránh bị phát hiện, một trong những gói được đề cập - mnemonic_to_address - không có bất kỳ chức năng độc hại nào, ngoại trừ liệt kê bip39-mnemonic-decrypt là phụ thuộc của nó, có chứa thành phần độc hại.
"Ngay cả khi họ đã chọn xem xét các phụ thuộc của gói, tên của mô-đun được nhập và hàm được gọi được lựa chọn cẩn thận để bắt chước các chức năng hợp pháp và không gây nghi ngờ, vì việc triển khai tiêu chuẩn BIP39 bao gồm nhiều hoạt động mật mã", Zanki giải thích.
Về phần mình, gói này được thiết kế để đánh cắp các cụm từ ghi nhớ và trích xuất thông tin đến một máy chủ do diễn viên kiểm soát.
Hai gói khác được xác định bởi ReversingLabs - trình tạo địa chỉ công cộng và máy quét erc20 - hoạt động theo cách tương tự, với gói trước hoạt động như một mồi nhử để truyền các cụm từ ghi nhớ đến cùng một máy chủ lệnh và điều khiển (C2).