新的网络钓鱼方案针对MEXC交易所的加密期货
JFrog安全研究团队警告称,针对MEXC交易所的加密期货交易的恶意软件包正在被利用,试图窃取资金并泄露交易凭证。该团队于4月15日发布了一份报告,详细介绍了“ccxt-mexc-futures”软件包,该软件包使用合法的加密货币交易(CCXT)库,将用户的交易请求重定向至恶意服务器。
恶意方设置了一个与合法域名非常相似的域名。在这种情况下,用户可能会将假冒的MEXC域名误认为合法域名。一旦受害者陷入圈套,攻击者便可以劫持所有包含在交易请求中的加密货币和敏感信息。因此,攻击者还可以窃取应用程序编程接口(API)密钥和秘密。随后,这将危及加密交易账户。研究人员表示:“使用混淆技术和假冒的MEXC网站进一步展示了此次网络钓鱼活动的复杂性。”假冒网站甚至在Facebook上被推广。
与此同时,JFrog进一步解释说,ccxt-mexc-futures软件包声称通过加密货币交易(ccxt)PyPI软件包扩展加密交易能力。这是一个合法且流行的加密交易Python软件包,支持在包括MEXC在内的多个交易所进行交易。然而,攻击者声称该恶意软件包扩展了合法的CCXT软件包,以支持MEXC的“期货”交易。相反,为了实现其目标,恶意软件包重写了三个相关功能:describe、sign和prepare_request_headers。
添加、重写、重定向、窃取加密期货
报告进一步解释说,CCXT中的MEXC接口定义了一套广泛的API,以支持不同类型的交易。攻击者针对其中两个API:contract_private_post_order_submit和contract_private_post_order_cancel。一旦恶意ccxt-mexc-futures软件包重写了这两个API,它就添加了第三个API,spot4_private_post_order_place。因此,用户通过这些伪装成CCXT库合法API的API创建、下单或取消交易订单。研究人员表示:“每当用户使用这些条目,而不是使用CCXT定义的条目时,他们将使用攻击者的条目,在请求中指定期货交易。”
值得注意的是,攻击者甚至更进一步。他们使得“BadRequest”响应变为“OrderFilled”响应,以便让用户认为订单已经成功。这也是因为恶意软件包重写了sign函数,如果用户尝试使用该软件包与MEXC进行通信,请求将发送至假冒域名。这也意味着将用户令牌发送至请求头中给攻击者。如果未提供用户令牌,软件包将要求用户在下单前添加它。“如果不是与期货相关的条目,该软件包将把流量引导至CCXT软件包的原始MEXC交易所实现,”报告指出。
与此同时,研究人员发现了恶意软件包的两个版本。它们使用不同的方法在安装了该软件包的受害者计算机上隐藏和运行任意代码。然而,这两种方法都是“攻击者隐藏和运行恶意负载的非常常见方式。”针对这一威胁,JFrog表示已将这些恶意Python软件包添加到JFrog Xray中,以使用户能够立即检测到它们。