Специалисты по кибербезопасности из Socket Security выявили серьезную угрозу в репозитории Python Package Index (PyPI). Вредоносный пакет set-utils, замаскированный под легитимные библиотеки python-utils и utils, целенаправленно атаковал разработчиков криптовалютных проектов с целью хищения приватных ключей Ethereum-кошельков.
Механизм работы вредоносного кода
Злоумышленники реализовали изощренный механизм перехвата криптографических ключей. Вредоносный код внедрялся в стандартные функции создания кошельков Ethereum (from_key() и from_mnemonic()), перехватывая приватные ключи непосредственно в момент их генерации. Похищенные данные шифровались встроенным в пакет публичным RSA-ключом атакующих.
Инновационный метод эксфильтрации данных
Особенность атаки заключается в использовании блокчейна Polygon для передачи украденной информации. Зашифрованные ключи внедрялись в поле данных Ethereum-транзакций и отправлялись через публичный RPC-эндпоинт rpc-amoy.polygon.technology. Такой подход существенно затрудняет обнаружение вредоносной активности традиционными средствами защиты, которые в основном ориентированы на мониторинг HTTP-трафика.
Масштаб угрозы и целевая аудитория
За период с 29 января 2025 года пакет был загружен 1077 раз. Основными целями злоумышленников стали: разработчики DeFi-проектов на Python, создатели Web3-приложений с поддержкой Ethereum и специалисты, использующие автоматизацию на Python для управления криптовалютными активами.
Преимущества использования Polygon для атакующих
Выбор блокчейна Polygon для эксфильтрации данных обусловлен несколькими факторами: минимальные комиссии за транзакции, отсутствие ограничений на частоту мелких транзакций и наличие бесплатных публичных RPC-эндпоинтов. Это позволило злоумышленникам избежать затрат на создание собственной инфраструктуры и снизить риск обнаружения.
В настоящее время вредоносный пакет удален из PyPI. Всем пользователям, интегрировавшим set-utils в свои проекты, настоятельно рекомендуется немедленно удалить его и считать все созданные с его помощью Ethereum-кошельки скомпрометированными. Критически важно в кратчайшие сроки перевести все средства на новые, безопасные кошельки, созданные с использованием проверенного программного обеспечения.
