Pesquisadores em segurança cibernética identificaram um novo pacote Python malicioso, chamado “CryptoAITools”, que se disfarça de ferramenta de negociação de criptomoedas, mas foi projetado para roubar informações confidenciais e drenar ativos de carteiras digitais das vítimas. Distribuído por meio do Python Package Index (PyPI) e repositórios falsos no GitHub, o pacote teve mais de 1.300 downloads antes de ser removido do PyPI.
Segundo o relatório da Checkmarx, o malware é ativado automaticamente após a instalação, afetando sistemas Windows e macOS. Uma interface gráfica falsa distrai as vítimas enquanto o malware executa operações maliciosas em segundo plano, extraindo dados das carteiras e explorando diretórios como Downloads, Documentos e Área de Trabalho, além de acessar informações de navegadores e aplicativos de criptomoedas, como Bitcoin e Ethereum, e dados salvos do Telegram.
O código malicioso, injetado no arquivo __init__.py, avalia o sistema operacional e libera o comportamento nocivo correspondente, iniciando um processo de infecção em várias etapas. Ele baixa cargas adicionais de um site falso (“coinsw[.]app”), que simula ser um serviço de bot de negociação para enganar usuários e dificultar a detecção do malware.
Em dispositivos Apple macOS, o malware também acessa dados dos aplicativos Apple Notes e Stickies. Após capturar os dados, eles são enviados para o serviço gofile[.]IO, e o malware apaga as cópias locais para encobrir rastros.
A investigação da Checkmarx revelou que o mesmo malware é distribuído em um repositório GitHub sob o nome “Meme Token Hunter Bot”, apresentado como um bot de negociação com inteligência artificial para tokens da rede Solana. Promovido também em um canal do Telegram que oferece suporte e assinaturas mensais, o repositório está ativo e recebeu bifurcações e marcações de estrela, ampliando o alcance do ataque ao atrair vítimas que clonam o código direto do GitHub.
Essa campanha multiplaforma permite que os atacantes alcancem diferentes perfis de vítimas, alavancando o ambiente descentralizado do GitHub para ampliar o impacto do malware sobre a comunidade de criptomoedas e seus usuários, que podem se tornar vítimas ao confiar em plataformas distintas. A Checkmarx alerta para o alcance potencialmente alto do ataque, que afeta a segurança e integridade de dados e ativos de criptomoedas.