Вредоносная кампания с использованием нескольких пакетов python, особенно пакета "spl-types", началась 25 июня с загрузки безобидного пакета на PyPI. Начальная версия пакета была безопасной, чтобы вызвать доверие и избежать обнаружения.
В PyPI были загружены несколько вредоносных пакетов Python
Однако, после этого злоумышленники выпустили несколько вредоносных версий пакета, который содержал код, направленный на компрометацию и утечку данных, а также опустошение криптокошельков жертв. Они использовали StackExchange, чтобы направить пользователей к своему вредоносному пакету, размещая ссылку в популярной теме. Система защиты от вирусов и угроз Windows не смогла обнаружить активное вредоносное ПО в системе жертвы, что подтверждает, что современные системы EDR неэффективны против угроз, исходящих от вредоносных пакетов. Компонент бэкдора в составе вредоносной программы предоставлял злоумышленнику постоянный удаленный доступ к системам жертв, обеспечивая потенциальные возможности для будущих эксплойтов и долгосрочной компрометации.
В успешности атаки на этих конкретных пользователей криптовалют, связанных с Raydium и Solana, заключается мотив их атаки. Злоумышленники искали возможность перехватить или манипулировать дорогостоящими транзакциями, указывая на финансовые мотивы. Для доставки вредоносного пакета злоумышленники создали обманчивый пакет под названием "Raydium" на PyPI. Это подозрительное действие, так как у Raydium нет официальной библиотеки Python. Вредоносные пакеты были включены в другие зависимости, поэтому они выглядели легитимно.
Цель вредоносной программы была широкой. Она собирала различные конфиденциальные данные, включая данные браузера, сохраненные пароли, куки, историю просмотров, а также данные кредитных карт и криптовалютных кошельков. Вредоносная программа также искала данные из приложений обмена сообщениями и делала скриншоты систем пользователей.
Она искала ключевые слова, связанные с криптовалютами, и другую конфиденциальную информацию. Украденные данные сжимались и пересылались на сервер злоумышленника с помощью ботов Telegram.
Пакеты
- spl-types
- raydium
- sol-structs
- raydium-sdk
- sol-instruct
Indicators of Compromise
IPv4
- 147.45.44.114
URLs
- https://api.telegram.org/bot6875598996:AAGATybCyN73i3als0VRGlP8cILsFjKf4ao/sendDocument?chat_id=7069869729
- https://api.telegram.org/bot7265790107:AAE9XT3b23WyBHq-0fw5BwW5U7wzYNZT3cc/sendDocument?chat_id=7069869729
- https://api.telegram.org/bot7265790107:AAE9XT3b23WyBHq-0fw5BwW5U7wzYNZT3cc/sendPhoto?chat_id=7069869729
- https://ipfs.io/ipfs/QmQcn1grVAFSazs31pJAcQUjdwVQUY9TtZFHgggFBN6wYQ
- https://rentry.co/2p7kv9d8/raw
- https://rentry.co/7hnvbc6n/raw
- https://rentry.co/foyntbdk/raw
- https://rentry.co/xcsshmno/raw