ابزار رمزنگاری یا دزد اطلاعات؟ نحوه سرقت Meme-Token-Hunter-Bot و کلون های آن از کاربران macOS

نویسندگان: Kseniia Yamburh، مهندس تحقیقات بدافزار در Moonlock توسط MacPaw و Mykhailo Pazyniuk، مهندس تحقیقات بدافزار در Moonlock توسط MacPaw

نرم‌افزار متن‌باز برای نوآوری اساسی است، اما درها را به سوی بهره‌برداری نیز باز می‌کند. اخیراً محققان چکمارکس بدون پوشش یک بسته مشکوک PyPI که کاربران macOS را هدف قرار می دهد، به نام Meme-Token-Hunter-Bot. در حالی که این بسته خود را به عنوان یک ربات شکارچی رمز ارز معرفی می‌کرد، با نگاهی عمیق‌تر مشخص شد که دارای محموله پیچیده‌ای برای سرقت اطلاعات است.

در Moonlock، جایی که ما روی محافظت از کاربران macOS تمرکز می‌کنیم، می‌دانستیم که باید عمیق‌تر در این مورد کاوش کنیم. همانطور که لایه‌ها را باز می‌کردیم، یافته‌های ما ما را به 10 مخزن اضافی هدایت کرد – هر کدام کد تقریباً یکسانی را با تغییرات ظریف به اشتراک می‌گذاشتند. آیا این کار یک استقرار خودکار بود؟ یک کمپین هماهنگ؟ در اینجا چگونگی انجام تحقیقات است.

اولین نگاه به چیزی بیش از یک ربات رمزنگاری

داستان با «Meme-Token-Hunter-Bot» آغاز می‌شود، که ظاهراً ابزار کاربردی دیگری برای علاقه‌مندان به ارزهای دیجیتال است. README آن به کاربران دستور می دهد main.py را اجرا کنند، فایلی که معمولاً عملکرد اصلی را در اکثر برنامه های کاربردی مبتنی بر پایتون آغاز می کند. با پیروی از دستورالعمل‌ها، به main.py پرداختیم، اما آن را با یک اسکریپت کمکی به نام base_helper.py فراخوانی کردیم. این فایل کمکی سنگ بنای…

Source link