Socket Security ha descubierto una amenaza crítica en el repositorio Python Package Index (PyPI) que pone en riesgo a la comunidad de desarrolladores blockchain. El paquete malicioso set-utils, que se hacía pasar por las populares bibliotecas python-utils y utils, ha sido diseñado específicamente para comprometer carteras Ethereum mediante el robo de claves privadas durante el proceso de desarrollo.
Sofisticado Mecanismo de Intercepción de Claves Criptográficas
El malware implementa un sistema avanzado de interceptación que se integra directamente en las funciones fundamentales de creación de carteras Ethereum. Al modificar los métodos from_key() y from_mnemonic(), el código malicioso captura las claves privadas en el momento exacto de su generación, cifrándolas inmediatamente con una clave RSA pública incorporada en el paquete.
Innovadora Técnica de Exfiltración mediante Blockchain
Lo que hace particularmente notable esta amenaza es su uso pionero de la red Polygon para la exfiltración de datos. Los atacantes aprovechan el endpoint público rpc-amoy.polygon.technology para transmitir las claves robadas, ocultándolas dentro de los campos de datos de transacciones Ethereum. Esta metodología representa un significativo avance en la evasión de sistemas de detección tradicionales.
Impacto y Alcance del Ataque
Desde su aparición el 29 de enero de 2025, el paquete malicioso registró 1077 descargas, afectando principalmente a tres grupos críticos: desarrolladores de proyectos DeFi, creadores de aplicaciones Web3, y profesionales que automatizan operaciones con criptoactivos mediante Python. La elección de Polygon como vector de exfiltración demuestra una planificación sofisticada, aprovechando sus bajas comisiones y la disponibilidad de endpoints RPC públicos.
Se insta a todos los desarrolladores que hayan incorporado set-utils en sus proyectos a tomar medidas inmediatas de mitigación. Esto incluye la eliminación inmediata del paquete, la revocación de todas las carteras Ethereum generadas durante su uso, y la transferencia urgente de activos a nuevas carteras creadas con herramientas verificadas. La industria blockchain debe mantenerse especialmente vigilante ante estas nuevas formas de ataque que aprovechan la propia infraestructura descentralizada para sus propósitos maliciosos.
