Специалисты по кибербезопасности компании Phylum выявили серьезную угрозу в популярном Python-пакете aiocpa, который был загружен более 12 000 раз. Вредоносное обновление, внедренное в версию 0.1.13, было нацелено на кражу приватных ключей пользователей криптовалютной платежной системы Crypto Pay.
Анатомия атаки на цепочку поставок
Пакет aiocpa, изначально разработанный как клиент для Crypto Pay API с поддержкой синхронных и асинхронных операций, был впервые опубликован в сентябре 2024 года. Особенностью данной атаки стало то, что вредоносный код присутствовал только в версии, размещенной на PyPI, в то время как GitHub-репозиторий оставался незараженным. Это усложнило обнаружение угрозы и могло ввести в заблуждение бдительных разработчиков.
Технический анализ вредоносного кода
Исследователи обнаружили, что злоумышленники модифицировали файл sync.py, добавив в него сложно обфусцированный код. Вредоносная нагрузка подвергалась 50-кратному рекурсивному кодированию и сжатию, что существенно затрудняло его анализ. После установки пакета, вредоносный код автоматически активировался и начинал поиск API-токенов Crypto Pay, которые затем передавались злоумышленникам через специально созданного Telegram-бота.
Последствия и меры безопасности
Администрация PyPI оперативно отреагировала на угрозу, поместив пакет в карантин с последующим удалением. На данный момент остается неясным, произошла ли компрометация учетных данных легитимного разработчика или вредоносное обновление было опубликовано им самостоятельно. Этот инцидент подчеркивает важность постоянного мониторинга зависимостей и необходимость внедрения дополнительных мер безопасности при работе с пакетными менеджерами.
Данный случай демонстрирует растущую тенденцию атак на цепочки поставок программного обеспечения. Разработчикам рекомендуется внимательно проверять все обновления пакетов, использовать инструменты автоматического анализа безопасности и применять принцип минимальных привилегий при работе с API-токенами. Регулярный аудит зависимостей и мониторинг подозрительной активности остаются ключевыми элементами защиты от подобных угроз.
