Cybersicherheitsexperten von Socket Security haben eine hochentwickelte Malware-Kampagne im Python Package Index (PyPI) aufgedeckt. Der als set-utils getarnte schädliche Code zielte gezielt auf Entwickler von Kryptowährungsprojekten ab, um private Schlüssel von Ethereum-Wallets zu stehlen.
Ausgeklügelte Angriffsstrategie auf Krypto-Entwickler
Die Angreifer implementierten einen raffinierten Mechanismus zur Kompromittierung von Kryptowährungsschlüsseln. Der schädliche Code wurde in die Standard-Wallet-Generierungsfunktionen from_key() und from_mnemonic() eingeschleust. Sobald ein neues Ethereum-Wallet erstellt wurde, fing die Malware die privaten Schlüssel ab und verschlüsselte sie mit einem eingebetteten RSA-Schlüssel.
Innovative Blockchain-basierte Datenexfiltration
Besonders bemerkenswert ist die Nutzung der Polygon-Blockchain für den Datentransfer. Die kompromittierten Schlüssel wurden in Ethereum-Transaktionsdaten eingebettet und über den öffentlichen RPC-Endpunkt rpc-amoy.polygon.technology übertragen. Diese Methode umgeht effektiv traditionelle Sicherheitssysteme, die hauptsächlich HTTP-Traffic überwachen.
Signifikante Bedrohung für die Krypto-Entwicklergemeinschaft
Seit dem 29. Januar 2025 wurde das kompromittierte Paket 1077 Mal heruntergeladen. Die Hauptzielgruppe umfasste Python-DeFi-Entwickler, Web3-Programmierer und Krypto-Automatisierungsexperten. Die Verwendung der Polygon-Blockchain für die Datenexfiltration ermöglichte den Angreifern minimale Transaktionsgebühren und reduzierte das Entdeckungsrisiko erheblich.
Erforderliche Sicherheitsmaßnahmen
Entwickler und Organisationen, die set-utils in ihren Projekten implementiert haben, sollten unverzüglich folgende Schritte einleiten:
– Sofortige Entfernung des kompromittierten Pakets
– Überprüfung aller betroffenen Systeme auf Anzeichen von Kompromittierung
– Transfer sämtlicher Krypto-Assets aus potenziell gefährdeten Wallets
– Implementierung zusätzlicher Sicherheitskontrollen für Package-Management
Diese Sicherheitslücke unterstreicht die wachsende Bedeutung sorgfältiger Überprüfungen von Drittanbieter-Packages in der Krypto-Entwicklung. Entwickler sollten Package-Quellen grundsätzlich verifizieren und zusätzliche Sicherheitstools zur Codeanalyse einsetzen. Die Integration automatisierter Sicherheitsprüfungen in den Entwicklungsprozess ist für moderne Krypto-Projekte unerlässlich geworden.