Los investigadores de Checkmarx identificaron esta campaña por primera vez en el mes de abril de este año, y desde entonces se ha vuelto cada vez más compleja. Ya son 272 los paquetes de robo de información contabilizados, que se cuelan en plataformas de código abierto y llevan más de 75.000 descargas.
El primer indicio que detectaron los expertos fue un patrón dentro del ecosistema Python, y luego, con el paso del tiempo, se encontraron con capas de ofuscación y técnicas de evasión de detección cada vez más sofisticadas.
En criptomonedas, se estima que con este software malicioso se han robado aproximadamente 95.000 euros de aplicaciones de billetera como Atomic y Exodus, según reportan desde el sitio Bleeping Computer.
Además, se ha registrado la sustracción de listas de tareas, contraseñas de Wi-Fi, información del sistema, credenciales, historial de navegación, cookies e información de pago almacenadas en los navegadores web. También herramientas antivirus ejecutándose en el dispositivo, datos de usuario de Minecraft y Roblox e insignias de Discord, números de teléfono, direcciones de correo electrónico y estado de nitro.
Por otro lado, el malware puede hacer capturas de pantalla y robar archivos individuales del sistema comprometido, como los directorios de escritorio, imágenes, documentos, música, videos y descargas.
Y hasta el portapapeles de la víctima se monitorea constantemente. Buscan direcciones de criptomonedas, que el malware intercambia con la dirección del atacante y así desvía pagos a billeteras bajo su control.
Más peligroso que los infostealers tradicionales
El infostealer es un malware que roba información confidencial, credenciales de usuario y criptomonedas. Pero el software de esta campaña dobla la apuesta al manipular los datos de las aplicaciones.
Un caso proporcionado por los expertos de Checkmarx indica que en la billetera de criptomonedas Exodus, se reemplaza el archivo electrónico de la aplicación, lo que permite eludir la política de seguridad de contenido y filtrar los datos.
En Discord, si ciertas configuraciones están habilitadas, el malware inyecta código JavaScript que se ejecuta cuando se reinicia el cliente.
El malware también emplea un script de PowerShell en una terminal elevada para manipular los “hosts” de Windows de modo que los productos de seguridad que se ejecutan en el dispositivo atacado no puedan contactar con sus servidores.
A todo esto se suma el cifrado. Mientras que en los paquetes analizados en el mes de abril el código malicioso era visible porque el texto estaba escrito sin formato, un mes después se detectó que el malware estaba encriptado. Para agosto, se encontraron paquetes que ya tenían una ofuscación con no menos de 70 capas y hasta la capacidad de desactivar antivirus.
Los investigadores advierten que los ciberdelincuentes cargan diariamente paquetes maliciosos en repositorios y sistemas de control de versiones ampliamente utilizados, como GitHub, o registros de paquetes como PyPi y NPM.
Y recomiendan a los usuarios de código abierto y ecosistemas de desarrolladores que examinen los proyectos y los editores de paquetes en los que confían y que estén atentos a los errores tipográficos en los nombres de los paquetes.