Gli hacker stanno sfruttando la piattaforma di domande e risposte Stack Exchange per distribuire pacchetti Python malevoli, mettendo a rischio gli sviluppatori ignari. Secondo un rapporto dei ricercatori di Checkmarx, Yehuda Gelb e Tzachi Zornstain, il codice malevolo incorporato in questi pacchetti automatizza processi che compromettono e controllano i sistemi delle vittime, esfiltrando dati e svuotando i loro portafogli di criptovalute.

La campagna, iniziata il 25 giugno 2024, ha preso di mira specificamente gli utenti di criptovalute coinvolti con Raydium e Solana. I pacchetti coinvolti, ora rimossi dal repository Python Package Index (PyPI), sono:

• raydium (762 download)
• raydium-sdk (137 download)
• sol-instruct (115 download)
• sol-structs (292 download)
• spl-types (776 download)

Il malware all'interno di questi pacchetti funge da potente stealer di informazioni, raccogliendo dati come password del browser web, cookie, dettagli delle carte di credito, portafogli di criptovalute e informazioni associate ad app di messaggistica come Telegram, Signal e Session. Inoltre, è in grado di catturare screenshot del sistema e cercare file contenenti codici di recupero di GitHub e chiavi BitLocker. Le informazioni raccolte vengono poi compresse ed esfiltrate a due bot Telegram mantenuti dagli attaccanti.

Un componente backdoor presente nel malware consente agli attaccanti di accedere in remoto e in modo persistente ai computer delle vittime, permettendo potenziali exploit futuri e compromissioni a lungo termine. La catena di attacco è suddivisa in più fasi, con il pacchetto "raydium" che elenca "spl-types" come dipendenza per nascondere il comportamento malevolo e far sembrare legittimo il pacchetto agli occhi degli utenti.

Un aspetto notevole della campagna è l'uso di Stack Exchange come vettore per promuovere questi pacchetti, pubblicando risposte apparentemente utili che li menzionano in risposte a domande degli sviluppatori su come eseguire transazioni di swap su Raydium usando Python. Questo approccio ha permesso agli attaccanti di massimizzare la loro portata, scegliendo thread con alta visibilità per conferire credibilità ai pacchetti.

Nonostante le risposte siano state rimosse da Stack Exchange, The Hacker News ha trovato riferimenti a "raydium" in altre domande non risposte sul sito, datate 9 luglio 2024. Inoltre, riferimenti a "raydium-sdk" sono emersi in un post su Medium intitolato "How to Buy and Sell Tokens on Raydium using Python: A Step-by-Step Solana Guide", condiviso da un utente di nome SolanaScribe il 29 giugno 2024.

Questo non è il primo caso in cui attori malevoli utilizzano questo metodo di distribuzione del malware. Già a maggio, Sonatype aveva rivelato come un pacchetto chiamato pytoileur fosse stato promosso tramite Stack Overflow per facilitare il furto di criptovalute. Questo sviluppo dimostra come gli attaccanti stiano sfruttando la fiducia nelle piattaforme comunitarie per diffondere malware, causando attacchi alla supply chain su larga scala.