Команда дослідників Socket Security виявила критичну загрозу безпеки в репозиторії Python Package Index (PyPI). Зловмисники розповсюджували шкідливий пакет set-utils, замаскований під популярні бібліотеки python-utils та utils, який цілеспрямовано атакував розробників криптовалютних проектів для викрадення приватних ключів Ethereum-гаманців.
Технічний аналіз шкідливого коду
Дослідження показало, що зловмисники впровадили витончений механізм перехоплення криптографічних даних. Шкідливий код інтегрувався у базові функції створення Ethereum-гаманців – from_key() та from_mnemonic(), що дозволяло перехоплювати приватні ключі безпосередньо під час їх генерації. Викрадена інформація автоматично шифрувалася вбудованим RSA-ключем атакуючих.
Унікальний метод ексфільтрації через Polygon
Особливу увагу привертає інноваційний підхід до передачі викрадених даних через блокчейн Polygon. Зашифровані ключі вбудовувалися в транзакції Ethereum та відправлялися через публічний RPC-endpoint rpc-amoy.polygon.technology. Такий метод суттєво ускладнює виявлення зловмисної активності стандартними засобами моніторингу мережевого трафіку.
Масштаби поширення та цільова аудиторія атаки
З моменту публікації 29 січня 2025 року пакет був завантажений 1077 разів. Основними мішенями стали розробники DeFi-проектів, творці Web3-додатків та фахівці з автоматизації управління криптоактивами на Python. Використання Polygon для ексфільтрації даних забезпечило атакуючим низькі комісії, відсутність обмежень на частоту транзакцій та анонімність.
Всім користувачам set-utils необхідно терміново видалити цей пакет та вважати скомпрометованими всі створені з його допомогою Ethereum-гаманці. Рекомендується негайно перевести активи на нові гаманці, створені за допомогою перевіреного програмного забезпечення. Цей інцидент підкреслює важливість ретельної перевірки залежностей та використання інструментів аналізу безпеки при розробці криптовалютних проектів.