在近日的网络安全领域,研究人员发现在Python包索引(PyPI)存储库中出现了一系列恶意软件包,这些软件包假冒加密货币钱包恢复和管理工具,其实则是为了窃取用户的敏感数据和数字资产。这一发现引起了行业内的广泛关注,特别是针对加密货币用户而言,这一攻击所带来的风险不容小觑。 安全研究公司Checkmarx的研究员耶胡达·盖尔布在分析报告中指出,这些攻击主要是针对诸如Atomic、Trust Wallet、MetaMask、Ronin、TronLink、Exodus等知名数字钱包用户。恶意软件包的名字和功能设计得极具迷惑性,意在吸引那些希望恢复或管理自己加密货币钱包的用户。这些软件包声称能够提取助记词并解密钱包数据,但实际上它们的真实目的则是窃取用户的私钥、助记词,以及交易历史和钱包余额等敏感信息。 这些恶意软件包的下载量相对较高,虽然在被查获并下架之前,其下载量总计达到数百次。
比如,名为atomicdecoderss的软件包有366次下载,trondecoderss有240次下载,phantomdecoderss则达到了449次,甚至有些包如trustdecoderss和exodusdecoderss的下载量也分别为466次和422次。可见,攻击者利用了加密货币用户的信任,对其进行了精准的诱骗。 从技术层面来看,这些恶意软件包的设计复杂而具有迷惑性。它们在PyPI上的描述包括了安装说明、使用示例,甚至还提供了一些关于虚拟环境的“最佳实践”建议。此外,为了增强可信度,攻击者甚至伪造了下载统计数据,使其看起来更为流行和可靠。 在这些恶意软件包中,六个软件包依赖于名为cipherbcryptors的恶意依赖库来执行其恶意功能,而其它几个则依赖于ccl_leveldbases包,显然是为了进一步隐藏其真实意图。
恶意功能的触发并不是在安装时自动启动,而是需要调用特定的函数,这样的设计让用户在初始使用时难以察觉潜在的威胁。被窃取的数据随后会被发送到一个远程服务器。 攻击者为了增强自身的隐蔽性,并没有在软件包中硬编码其指挥控制服务器的地址,而是使用外部资源动态获取这些信息。这一技术被称为“死信解析器”,它使攻击者能够在不发布软件包更新的情况下,灵活地更新服务器信息。同时,这也使得一旦服务器被关闭,攻击者可以快速切换到不同的基础设施进行攻击。 耶胡达·盖尔布强调道,这种攻击利用了公众对开源社区的信任,以及钱包管理工具表面上的实用性,可能会影响到广泛范围的加密货币用户。
他指出,攻击的复杂性无论是在包装的欺骗性、动态恶意能力,还是对恶意依赖库的使用方面,都强调了全面安全措施和持续监测的重要性。 这一恶性事件的爆发,无疑是对加密货币领域的一次严峻警告。近年来,针对加密货币领域的恶意活动层出不穷,攻击者不断寻找新的方式来劫取用户的资金。例如,在2024年8月,一项名为CryptoCore的复杂加密货币诈骗操作被曝光,其中揭示了利用社交媒体平台(如Facebook、Twitch、X、YouTube)上的假视频或被劫持账户来诱使用户投资。这一诈骗集团及其赠品活动借助深度伪造技术、劫持的YouTube账户以及专业设计的网站,欺骗用户将加密货币发送到骗子的钱包。 不仅如此,Check Point公司最近还披露了一款流氓安卓应用程序,该应用程序假冒了合法的WalletConnect开源协议,导致约70,000美元的加密货币在被感染的设备上通过欺诈交易被盗。
显然,随着加密货币市场的扩张,骗子们的信息技术手段也愈发高超和复杂。 在这种环境下,用户必须提高警惕,特别是在涉及到个人财务的信息管理时。确保只从官方和可信的渠道下载软件,定期更新软件包,使用强密码和双重认证等安全措施,都是保护自己资产的有效途径。同时,加密货币交易平台和服务提供商也需要加强对其服务的监控,及时发现并管理潜在的安全风险。 总之,随着网络安全威胁的不断演化,公众对开源软件的信任成为了攻击者狙击的目标。因此,各方在享受开源软件带来的便利的同时,也需保持充分警觉,采取必要的安全措施来保护自己的数字资产免受侵害。
。
