Pesquisadores da ReversingLabs identificaram malwares disfarçados de pacotes legítimos direcionados à bitcoinlib, uma biblioteca Python amplamente utilizada para criação e gerenciamento de carteiras de Bitcoin. Com mais de 1 milhão de downloads, a biblioteca atraiu a atenção de agentes maliciosos que publicaram dois pacotes comprometidos no repositório oficial: “bitcoinlibdbfix” e “bitcoinlib-dev”.
De acordo com o relatório, os pacotes se apresentavam como soluções para um erro que surgia durante transferências de Bitcoin. Isso enganava usuários que buscavam resolver o problema. Os códigos maliciosos tentavam sobrescrever comandos legítimos com o objetivo de acessar e extrair arquivos de banco de dados sensíveis. O ataque compromete informações dos desenvolvedores e, potencialmente, de usuários finais.
Carteiras de Bitcoin são alvo de malware
Os responsáveis pela publicação dos pacotes chegaram a participar de discussões no GitHub, pressionando outros desenvolvedores a adotarem as bibliotecas alteradas. No entanto, usuários reconheceram a fraude e houve a remoção dos pacotes. Ou seja, agora, isso não representa mais um risco.
A detecção ocorreu por meio de modelos de machine learning, que analisaram o comportamento dos pacotes e identificaram semelhanças com malwares anteriores. Conforme apontou a ReversingLabs, esse tipo de detecção automatizada é uma resposta necessária diante do aumento nos ataques à cadeia de suprimentos de software voltados ao setor de carteiras de Bitcoin e demais criptomoedas.
Karlo Zanki, engenheiro da empresa, afirmou que o volume crescente de novos pacotes publicados diariamente representa um desafio para organizações de segurança, e que modelos baseados em aprendizado de máquina são atualmente a melhor solução disponível para mitigar esses riscos.
Confira nossas sugestões de Pre-Sales para investir agora
Esse episódio soma-se a outras campanhas recentes voltadas a desenvolvedores cripto. Em fevereiro, a Kaspersky alertou sobre malwares distribuídos via repositórios GitHub, que sequestravam endereços de carteiras e redirecionavam fundos para os atacantes. Já variantes do malware XCSSET continuam em circulação, com capacidade de tirar capturas de tela, registrar atividades e extrair dados de contas do Telegram.
A crescente sofisticação desses ataques reforça a importância de verificações automatizadas e da atenção redobrada por parte de desenvolvedores ao integrar novas bibliotecas em seus projetos. Além disso, hackers estão vendendo celulares com malware que rouba criptomoedas.