Investigadores de ReversingLabs han identificado programas maliciosos que se hacían pasar por paquetes legítimos dentro del repositorio oficial de Python, dirigidos a bitcoinlib, una biblioteca ampliamente utilizada para la creación y gestión de carteras de Bitcoin. Con más de un millón de descargas, la biblioteca atrajo la atención de actores maliciosos que publicaron dos paquetes comprometidos: “bitcoinlibdbfix” y “bitcoinlib-dev”.
Según el informe, estos paquetes se presentaban como soluciones para corregir un supuesto error que aparecía al realizar transferencias de Bitcoin. Esta estrategia engañaba a usuarios que intentaban solucionar el problema. El código malicioso intentaba sobrescribir comandos legítimos para acceder y extraer archivos sensibles de bases de datos, comprometiendo así tanto la información de los desarrolladores como potencialmente la de los usuarios finales.
Los responsables de la publicación de estos paquetes llegaron incluso a participar en discusiones dentro de GitHub, presionando a otros desarrolladores para que adoptaran las bibliotecas modificadas. No obstante, varios usuarios detectaron la anomalía, y los paquetes fueron eliminados. Actualmente, estos archivos ya no representan un riesgo activo.
La detección se logró mediante modelos de machine learning, los cuales analizaron el comportamiento de los paquetes y lo compararon con amenazas anteriores. Según ReversingLabs, este tipo de detección automatizada se ha vuelto esencial frente al aumento de ataques dirigidos a la cadena de suministro de software, especialmente en el sector de las criptomonedas.
Karlo Zanki, ingeniero de la empresa, explicó que el volumen creciente de nuevos paquetes publicados diariamente representa un reto para los equipos de ciberseguridad, y que el uso de modelos de aprendizaje automático es, por ahora, la mejor herramienta disponible para reducir estos riesgos.
Este incidente se suma a otras campañas recientes enfocadas en desarrolladores del ecosistema cripto. En febrero, la empresa de ciberseguridad Kaspersky alertó sobre programas maliciosos distribuidos a través de GitHub, que secuestraban direcciones de carteras y redirigían los fondos a cuentas de los atacantes. Por su parte, variantes del malware XCSSET siguen circulando y cuentan con la capacidad de tomar capturas de pantalla, registrar actividad del usuario y extraer datos de cuentas de Telegram.
La creciente sofisticación de este tipo de ataques pone de manifiesto la necesidad de herramientas automatizadas y una mayor precaución por parte de los desarrolladores al incorporar nuevas bibliotecas en sus proyectos. A esto se suma la aparición de celulares infectados con malware capaces de robar criptomonedas directamente desde las aplicaciones móviles.