Обнаружение крипто-вредоносного ПО с использованием машинного обучения
Машинное обучение было использовано для обнаружения крипто-вредоносного ПО, нацеленного на пользователей библиотеки bitcoinlib — популярного инструмента на Python для создания Bitcoin-кошельков. Компания ReversingLabs сообщает, что вредоносные пакеты пытались перезаписать законные команды, чтобы извлекать чувствительные данные из файлов базы данных. Исследователи утверждают, что bitcoinlib является «широко используемой библиотекой с открытым исходным кодом», которая позволяет создавать и управлять крипто-кошельками, и с момента своего запуска была загружена более миллиона раз.
Маскировка вредоносного ПО
Под названиями «bitcoinlibdbfix» и «bitcoinlib-dev», вредоносное ПО маскировалось под решение проблем, вызывавших появление сообщений об ошибках при переводах Bitcoin. Исследователи отметили, что злоумышленники также участвовали в обсуждениях на GitHub и пытались продвигать свои библиотеки, однако другие разработчики быстро распознали это как мошенничество. Оба пакета уже удалены и больше не могут быть загружены, что означает, что они больше не представляют угрозу для разработчиков.
Использование машинного обучения для защиты
Согласно ReversingLabs, пакеты были обнаружены с использованием сложных алгоритмов, способных определить, ведут ли они себя аналогично ранее известным вредоносным программам. Эксперты говорят, что эта автоматизация является важным инструментом защиты от «увеличивающегося числа атак на цепочку поставок программного обеспечения«, нацеленных на криптовалюту, и оказывается эффективной, даже если вредоносное ПО не сопровождается атаками социальной инженерии.
По словам инженера ReversingLabs Карло Занки, «количество новых пакетов, которые публикуются ежедневно, представляет собой проблему для организаций, занимающихся безопасностью, и основанное на машинном обучении обнаружение в настоящее время является наилучшим ответом, который может предложить индустрия.»
История угроз в области криптовалют
Это уже не первая кампания, специально нацеленная на разработчиков криптовалют. В феврале Kaspersky предупреждала о том, что вредоносное ПО распространяется через репозитории GitHub, широко используемые программистами. Если его загрузить, оно может захватить клавиатуру жертвы и заменить адреса кошельков на контролируемые злоумышленниками. В то же время появилась новая вариация XCSSET, которая может делать скриншоты, записывать действия пользователя и красть данные из их аккаунта в Telegram.
Редактор Стейси Элиот.
