ReversingLabs ha scoperto un pacchetto PyPI malevolo chiamato aiocpa, progettato per rubare informazioni sensibili dagli utenti, con un focus particolare sui portafogli di criptovalute. Questo pacchetto è stato pubblicato come uno strumento legittimo per la gestione delle criptovalute, ma successivamente ha ricevuto un aggiornamento malevolo che ha compromesso la sicurezza degli utenti.
Dettagli del pacchetto
Il pacchetto aiocpa è stato inizialmente presentato come un client per criptovalute, attirando utenti che cercavano strumenti per gestire i loro asset digitali. Tuttavia, una volta installato, il pacchetto ha ricevuto un aggiornamento che ha introdotto codice malevolo. Questo codice era progettato per esfiltrare informazioni sensibili, come chiavi private dei portafogli di criptovalute, e inviarle a un bot di Telegram controllato dagli attaccanti.
Metodologia di rilevamento
ReversingLabs ha utilizzato tecniche avanzate di threat hunting basate su machine learning per identificare il comportamento sospetto del pacchetto aiocpa. L’analisi ha rivelato pattern di codice offuscato, una tecnica comune utilizzata per nascondere le intenzioni malevole del software. Grazie a queste tecniche, è stato possibile individuare e comprendere il funzionamento del codice malevolo.
Raccomandazioni
La scoperta di aiocpa evidenzia l’importanza di una vigilanza continua nell’ecosistema dei pacchetti open source. Gli sviluppatori e gli utenti devono essere consapevoli dei rischi associati all’installazione di pacchetti da repository pubblici e adottare misure di sicurezza adeguate, come l’uso di strumenti di analisi del codice e la verifica delle fonti dei pacchetti. Il pacchetto aiocpa è stato segnalato e rimosso dal repository PyPI, ma il caso sottolinea la necessità di una maggiore attenzione alla sicurezza nel mondo delle criptovalute e del software open source.
“Questo incidente è un chiaro promemoria del fatto che le minacce alla sicurezza del software open source stanno crescendo e stanno diventando più difficili da rilevare.”, conclude Karlo Zanki, Reverse Engineer presso ReversingLabs, “Gli sforzi compiuti dagli attori della minaccia per mascherare la loro creazione dannosa hanno fatto sì che anche gli sforzi ragionevoli per valutare la qualità e l’integrità del pacchetto in questione non sarebbero stati sufficienti per identificare la minaccia alla supply chain. Con la sempre crescente sofisticatezza degli attori della minaccia e la complessità delle moderne supply chain del software, è necessario incorporare strumenti dedicati nel processo di sviluppo per aiutare a prevenire queste minacce e mitigare i rischi correlati“.