Команда дослідників Socket Security виявила критичну загрозу безпеки в репозиторії Python Package Index (PyPI). Зловмисники розповсюджували шкідливий пакет set-utils, замаскований під популярні бібліотеки python-utils та utils, який цілеспрямовано атакував розробників криптовалютних проектів для викрадення приватних ключів Ethereum-гаманців.

Технічний аналіз шкідливого коду

Дослідження показало, що зловмисники впровадили витончений механізм перехоплення криптографічних даних. Шкідливий код інтегрувався у базові функції створення Ethereum-гаманців – from_key() та from_mnemonic(), що дозволяло перехоплювати приватні ключі безпосередньо під час їх генерації. Викрадена інформація автоматично шифрувалася вбудованим RSA-ключем атакуючих.

Унікальний метод ексфільтрації через Polygon

Особливу увагу привертає інноваційний підхід до передачі викрадених даних через блокчейн Polygon. Зашифровані ключі вбудовувалися в транзакції Ethereum та відправлялися через публічний RPC-endpoint rpc-amoy.polygon.technology. Такий метод суттєво ускладнює виявлення зловмисної активності стандартними засобами моніторингу мережевого трафіку.

Масштаби поширення та цільова аудиторія атаки

З моменту публікації 29 січня 2025 року пакет був завантажений 1077 разів. Основними мішенями стали розробники DeFi-проектів, творці Web3-додатків та фахівці з автоматизації управління криптоактивами на Python. Використання Polygon для ексфільтрації даних забезпечило атакуючим низькі комісії, відсутність обмежень на частоту транзакцій та анонімність.

Всім користувачам set-utils необхідно терміново видалити цей пакет та вважати скомпрометованими всі створені з його допомогою Ethereum-гаманці. Рекомендується негайно перевести активи на нові гаманці, створені за допомогою перевіреного програмного забезпечення. Цей інцидент підкреслює важливість ретельної перевірки залежностей та використання інструментів аналізу безпеки при розробці криптовалютних проектів.