La piattaforma Q&A Stack Exchange utilizzata per diffondere pacchetti con malware in Python destinati agli utenti di criptovalute su Raydium e Solana.
I pacchetti falsi, come raydium, raydium-sdk, sol-instruct, sol-structs e spl-types, sono stati scaricati più di 2.000 volte prima di essere rimossi da PyPI. Durante l’installazione, il software dannoso veniva eseguito, colpendo i dispositivi delle vittime, sottraendo informazioni sensibili e svuotando i loro portafogli di criptovaluta.
Oltre a rubare dati, il software dannoso è in grado di acquisire schermate, cercare codici e chiavi di ripristino e concedere all’aggressore l’accesso remoto.
L’imboscata è stata mascherata includendo un pacchetto autentico come requisito e fornendo risposte utili su Stack Exchange per incoraggiarne l’utilizzo. Questa campagna mostra le strategie mutevoli degli individui malintenzionati, sottolineando la necessità di consapevolezza e misure di sicurezza per difendersi da tali attacchi.
The Hacker News ha trovato riferimenti a “raydium” in una domanda senza risposta su Stack Exchange del 9 luglio 2024, sui problemi con gli swap di rete Solana in Python 3.10.2. Inoltre, il 29 giugno 2024, SolanaScribe ha pubblicato un post su Medium che descriveva in dettaglio il processo di acquisto e scambio di token su Raydium tramite Python.
Diversi utenti hanno richiesto assistenza con “raydium-sdk” perché è stato rimosso da PyPI di recente. Sebbene il post non abbia creato collegamenti con gli autori delle minacce, sottolinea l’utilizzo di piattaforme della community per la diffusione di malware. Eventi recenti, come la diffusione del software dannoso pytoileur su Stack Overflow, evidenziano il pericolo di attacchi alla supply chain. I ricercatori sottolineano l’importanza di rivedere le tattiche di sicurezza, come illustrato dall’istanza del pacchetto PyPI zlibxjson creato per acquisire informazioni riservate prima della sua eliminazione.
Questi progressi evidenziano l’importanza di essere attenti nella protezione degli ecosistemi software da possibili vulnerabilità.
Fonte: http://thehackernews.com/2024/08/hackers-distributing-malicious-python.html
