Um conjunto de sete pacotes no Python Package Index (PyPI) foi descoberto por pesquisadores, revelando uma campanha de ataque à cadeia de suprimentos de software denominada BIPClip. Esses pacotes foram projetados para roubar frases usadas na recuperação de chaves privadas de carteiras de criptomoedas. Coletivamente, esses pacotes foram baixados 7.451 vezes antes de serem removidos do PyPI.

Essa campanha, direcionada a desenvolvedores que trabalham com carteiras de criptomoedas, tem estado ativa desde pelo menos 4 de dezembro de 2022. Um aspecto preocupante é que um dos pacotes, o mnemonic_to_address, aparentemente não apresentava funcionalidade maliciosa visível, exceto por listar bip39-mnemonic-decrypt como sua dependência, o qual continha o componente malicioso.

Os pesquisadores de segurança alertam que os atores por trás da campanha BIPClip têm sido cuidadosos para evitar detecção. Os pacotes são concebidos para imitar funções legítimas, dificultando a identificação de atividades maliciosas. Por exemplo, o pacote hashdecrypts é projetado para roubar frases mnemônicas e transmiti-las para um servidor controlado pelo atacante.

Essas descobertas destacam as ameaças à segurança que podem ser encontradas nos repositórios de pacotes de código aberto, onde até mesmo serviços legítimos como o GitHub são explorados para distribuir malware. Projetos abandonados tornam-se vetores atraentes para ataques à cadeia de suprimentos, exemplificados por casos como MavenGate e CocoaPods, onde domínios abandonados são sequestrados para disseminar intenções maliciosas.