网络安全专家发现了一种针对加密货币开发者和用户的新威胁。

在 Python 软件包索引（PyPI）上发现了两个恶意的 Python 软件包，它们专门被设计用来攻击使用流行的 bitcoinlib 库的系统。

这两个被识别为 bitcoinlibdbfix 和 bitcoinlib-dev 的软件包，伪装成该加密货币库的合法修复程序，但其包含的代码旨在窃取包含有价值的加密钱包信息的敏感数据库文件。

bitcoinlib 库是开发人员构建加密货币应用程序的关键工具，它为创建和管理加密钱包、与区块链网络交互以及执行比特币脚本提供了必要的功能。

这使其成为寻求破坏加密货币资产或访问敏感区块链数据的攻击者有价值的目标。

ReversingLabs 的研究人员通过他们的 Spectra 平台发现了这些恶意软件包，该平台采用先进的机器学习算法，通过分析行为模式来检测新型恶意软件。

根据他们的分析，这两个软件包都是有针对性的供应链攻击的一部分，延续了 2024 年全年近二十几次类似活动所呈现的令人担忧的加密货币相关软件遭破坏的趋势。

攻击者采用了经典的社会工程学技巧，将他们的恶意软件包伪装成解决 bitcoinlib 中所谓数据库问题的方案。

其中一个软件包声称可以修复 “ValueError: Old database version found (0.5 version database automatically）”错误，引诱那些寻求快速解决方案的开发人员安装这些被篡改的代码。

一旦安装，这些恶意软件包就会通过针对合法的命令行界面工具执行复杂的攻击。

感染机制分析

攻击的核心在于用恶意代码覆盖合法的 “clw” 命令行工具。

这些软件包包含的功能首先是使用如下代码删除任何现有的 clw 命令：

def remove_existing_clw():

“””如果系统中存在现有的clw命令，则将其删除”””

try:

clw_path = check_output([‘which’, ‘clw’], stderr=sys.stderr).decode().strip()

if clw_path:

os.remove(clw_path)

except CalledProcessError:

pass

在删除合法工具后，恶意软件会创建一个指向其自身可执行文件的符号链接，使其能够拦截原本用于加密货币钱包管理的命令。

这为攻击者提供了一种持续的机制，用于获取包含私钥和钱包信息的敏感数据库文件，然后这些文件会被泄露到攻击者控制的服务器上。