В репозитории Python Package Index (PyPI) недавно были обнаружены семь пакетов, предназначенных для кражи мнемонических фраз BIP39, используемых для восстановления приватных ключей криптовалютных кошельков.
Операция, получившая название BIPClip и выявленная специалистами из компании ReversingLabs, нацелена на разработчиков, работающих над проектами по созданию и защите криптовалютных кошельков. Об этом пишет Securitylab.
Эти пакеты, загруженные суммарно 7451 раз до их удаления с PyPI, представляют собой следующий список:
Примечательно, что вредоносная кампания BIPClip была начата довольно давно — 4 декабря 2022 года. Именно тогда был впервые опубликован предпоследний пакет из списка выше — «hashdecrypt».
Один из пакетов — «mnemonic_to_address» — не содержал вредоносного кода, за исключением указания «bip39-mnemonic-decrypt» в качестве зависимости, где и был скрыт вредоносный компонент. Два других пакета — «public-address-generator» и «erc20-scanner» — работали аналогичным образом, пересылая мнемонические фразы на сервер управления злоумышленников. В свою очередь, «hashdecrypts» содержал практически идентичный код для извлечения данных.
Кроме того, в составе этих пакетов были обнаружены ссылки на профиль GitHub под названием «HashSnake», в котором рекламируется репозиторий hCrypto для извлечения мнемонических фраз из криптовалютных кошельков с использованием пакета «hashdecrypts». История коммитов репозитория показывает, что кампания длится уже более года.
Аккаунт HashSnake также присутствует в Telegram и YouTube, где рекламируются соответствующие программные продукты. Например, 7 сентября 2022 года было опубликовано видео с инструментом для проверки криптовалютных журналов xMultiChecker 2.0.