Виявлено небезпечний Python-пакет, що краде ключі криптогаманців через блокчейн

CyberSecureFox 🦊

Команда дослідників Socket Security виявила критичну загрозу безпеки в репозиторії Python Package Index (PyPI). Зловмисники розповсюджували шкідливий пакет set-utils, замаскований під популярні бібліотеки python-utils та utils, який цілеспрямовано атакував розробників криптовалютних проектів для викрадення приватних ключів Ethereum-гаманців.

Технічний аналіз шкідливого коду

Дослідження показало, що зловмисники впровадили витончений механізм перехоплення криптографічних даних. Шкідливий код інтегрувався у базові функції створення Ethereum-гаманців – from_key() та from_mnemonic(), що дозволяло перехоплювати приватні ключі безпосередньо під час їх генерації. Викрадена інформація автоматично шифрувалася вбудованим RSA-ключем атакуючих.

Унікальний метод ексфільтрації через Polygon

Особливу увагу привертає інноваційний підхід до передачі викрадених даних через блокчейн Polygon. Зашифровані ключі вбудовувалися в транзакції Ethereum та відправлялися через публічний RPC-endpoint rpc-amoy.polygon.technology. Такий метод суттєво ускладнює виявлення зловмисної активності стандартними засобами моніторингу мережевого трафіку.

Масштаби поширення та цільова аудиторія атаки

З моменту публікації 29 січня 2025 року пакет був завантажений 1077 разів. Основними мішенями стали розробники DeFi-проектів, творці Web3-додатків та фахівці з автоматизації управління криптоактивами на Python. Використання Polygon для ексфільтрації даних забезпечило атакуючим низькі комісії, відсутність обмежень на частоту транзакцій та анонімність.

Всім користувачам set-utils необхідно терміново видалити цей пакет та вважати скомпрометованими всі створені з його допомогою Ethereum-гаманці. Рекомендується негайно перевести активи на нові гаманці, створені за допомогою перевіреного програмного забезпечення. Цей інцидент підкреслює важливість ретельної перевірки залежностей та використання інструментів аналізу безпеки при розробці криптовалютних проектів.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.