Seien Sie vorsichtig, wenn Sie Python-Pakete von PyPI herunterladen – Forscher haben herausgefunden, dass einige davon bösartig sind und darauf abzielen, Ihre Kryptowährungsbeute zu stehlen.
Cybersicherheitsforscher von ReversingLabs haben kürzlich sieben solcher Pakete entdeckt, deren Ziel es ist, BIP39-Mnemonikphrasen von ihren Opfern zu stehlen.
Eine Kryptowährungs-Wallet wird auf zwei Arten gesichert: mit einem Passwort und mit einer mnemonischen Phrase (einem Satz aus 12 oder 24 scheinbar zufälligen Wörtern). Wenn ein Benutzer eine Wallet einrichtet, generiert er eine mnemonische Phrase und ein Passwort. Für die Anmeldung bei der Wallet wird ein Passwort verwendet, während die mnemonische Phrase zur Wiederherstellung der Wallet verwendet wird, falls diese auf einem anderen Gerät oder Hardware-Wallet installiert werden muss.
BIPClip ist seit über einem Jahr in Betrieb
Durch den Diebstahl der Phrasen könnten Hacker die Wallets anderer Leute auf ihre eigenen Geräte laden und so im Wesentlichen uneingeschränkten Zugriff auf die Gelder erhalten.
Insgesamt wurden die Pakete fast 7.500 Mal heruntergeladen, bevor die Forscher PyPI benachrichtigten und die Malware entfernt wurde. Dies sind ihre Namen. Stellen Sie also sicher, dass Sie sie nicht heruntergeladen haben:
jsBIP39-decrypt (126 Downloads)bip39-mnemonic-decrypt (689 Downloads)mnemonic_to_address (771 Downloads)erc20-scanner (343 Downloads)public-address-generator (1.005 Downloads)hashdecrypt (4.292 Downloads)hashdecrypts (225 Downloads)
ReversingLabs nannte die Kampagne BIPClip und behauptete, sie sei Anfang Dezember 2022 gestartet.
„Dies ist nur die neueste Software-Lieferkettenkampagne, die auf Krypto-Assets abzielt“, sagte der Sicherheitsforscher Karlo Zanki in einem mit TheHackerNews geteilten Bericht. „Es bestätigt, dass Kryptowährungen weiterhin eines der beliebtesten Ziele für Bedrohungsakteure in der Lieferkette sind.“
PyPI, eines der größten und beliebtesten Python-Paket-Repositorys im Internet, ist häufig das Ziel von Angriffen auf die Lieferkette. Hacker geben sich häufig als legitime Pakete aus und versuchen, Entwickler dazu zu verleiten, bösartige Versionen herunterzuladen, die ihre sensiblen Daten herausfiltern und Malware und Ransomware verbreiten. Letztes Jahr war PyPl aufgrund einer Malware-Flut gezwungen, neue Projekte und Benutzeranmeldungen auszusetzen.
