Mais de 700 bibliotecas do Ruby, uma das mais populares linguagens de programação do mundo foram infectadas por um código malicioso que rouba Bitcoin.
A descoberta foi publicada pelos pesquisadores de segurança da Reversing Labs, eles revelaram que para roubar bitcoin os criminosos carregaram as bibliotecas maliciosas no repositório RubyGems com nomes errados, assim os desenvolvedores desavisados baixavam e utilizavam essas bibliotecas.
Essas bibliotecas eram cópias das legítimas e foram modificadas com códigos maliciosos. De acordo com a ReversingLabs, o ataque foi destinado apenas a usuários do Windows.
A empresa de segurança também revelou que a ação pode ter sido realizada por dois usuários (“Jim Carrey” e “PeterGibbons”) entre 16 e 25 de fevereiro de 2020.
Malware substitui endereço de bitcoin da área de transferência
Quando alguém baixava as bibliotecas, uma chave era registrada no registro do windows, “, garantindo que o malware fosse iniciado junto com o sistema operacional. Um segundo script VB chamado “Software Essentials.vbs”, obtia acesso às informações na área de transferência do usuário.
Assim, caso o malware reconhecesse um endereço de bitcoin na área de transferência, ele silenciosamente substituía o pelo endereço do hacker: “1JkU5XdNLji4Ugbb8agEWL1ko5US42nNmc”.
Ao pesquisar pelo endereço na blockchain, é possível ver que o hacker não conseguiu arrecadar nenhum valor com o ataque.
Esse tipo de ataque está se tornando comum, em julho de 2019 o mesmo aconteceu com a Python Package Index (PyPi) e, portanto, os desenvolvedores podem esperar que futuros ataques desse padrão continuem.
A afirmou ainda que não está claro por que o repositório RubyGems está sendo alvo desse tipo de ataque. Como os hackers estão usando Windows, esta ação precisa atingir um conjunto muito específico de indivíduos para ter sucesso.
“O candidato perfeito para sucumbir a esse tipo de ataque é o desenvolvedor Ruby, cujo ambiente de desenvolvimento é um sistema Windows que também é usado periodicamente para fazer transações com Bitcoin. Uma raça rara, de fato”. Disse a empresa de segurança.