Torna alle Notizie

Kaspersky: app crypto false su GitHub possono svuotare i wallet

La società di cybersecurity Kaspersky ha identificato un software malevolo diffuso tramite versioni false di bot di trading, tracker di portafogli e strumenti per wallet su GitHub. Una volta installato, può sostituire gli indirizzi dei wallet copiati con quelli degli aggressori e rubare le chiavi private, mettendo a rischio le criptovalute degli utenti.
La società di cybersecurity Kaspersky ha identificato un nuovo framework malware progettato specificamente per svuotare i wallet di criptovalute. Il vettore di attacco si basa sull'ingegneria sociale e su applicazioni trojanizzate ospitate su GitHub.

La campagna, descritta in dettaglio da Kaspersky in un rapporto pubblicato venerdì, utilizza versioni false di strumenti crypto legittimi. Le vittime vengono indotte con l'inganno a scaricare codice malevolo mascherato da bot di trading, tracker di portafogli o software di gestione di wallet.

Una volta installato, il framework può intercettare i dati degli appunti – sostituendo gli indirizzi dei wallet copiati con quelli controllati dagli aggressori – e raccogliere le chiavi private memorizzate sul dispositivo. Kaspersky ha affermato che il malware è modulare, consentendo ai suoi operatori di sostituire i carico senza ricostruire l'intera catena di infezione.

"Questa non è una semplice operazione da script kiddie", ha osservato il team di ricerca di Kaspersky nel rapporto. "Il framework mostra una chiara pianificazione. Gli aggressori si rivolgono a un pubblico specifico: persone che gestiscono attivamente asset crypto e si sentono a proprio agio nell'installare strumenti open-source."

Il malware si diffonde principalmente attraverso repository di GitHub che appaiono legittimi. Alcuni repository hanno accumulato "stelle" e "fork", facendoli sembrare affidabili. Altri vengono promossi tramite gruppi Telegram e forum dedicati alle criptovalute.

GitHub è un canale di distribuzione popolare per il software di trading di criptovalute, dalle integrazioni di aggregatori DEX ai bot MEV. La dinamica di fiducia predefinita della piattaforma gioca a favore degli aggressori: un repository con commit recenti e una documentazione che sembra reattiva può ingannare anche gli utenti esperti.

Kaspersky non ha nominato repository specifici né ha stimato il numero totale di vittime. L'azienda ha consigliato ai trader di verificare l'identità degli autori del software, controllare le firme digitali ed eseguire le operazioni con i wallet su macchine isolate (air-gapped) quando possibile.

Per i trader che si affidano a strumenti di terze parti, le implicazioni sono dirette: un'app compromessa può svuotare un wallet in pochi secondi. Non è richiesta alcuna email di phishing, nessun sito web falso da controllare: l'aggressore è già all'interno del flusso di lavoro dell'utente.

Il design modulare del framework suggerisce che le varianti future potrebbero mirare alla comunicazione con gli hardware wallet o sfruttare i permessi delle estensioni del browser. Kaspersky ha dichiarato di stare tracciando il malware con un nome in codice interno e si aspetta che gli operatori continuino a perfezionare il codice.

Gli investitori in criptovalute dovrebbero trattare qualsiasi download da GitHub come un potenziale rischio. L'approccio più sicuro: open-source non significa sicuro. Verificate voi stessi il codice, eseguitelo prima in una sandbox o attenetevi a strumenti noti e verificati di sviluppatori affermati.

Notizie correlate