Угроза из PyPI: вредоносный пакет красит кошельки Ethereum
Недавно выявленный вредоносный пакет PyPI под названием set-utils представляет серьезную угрозу для разработчиков Ethereum, поскольку он крадет закрытые ключи Ethereum. Этот пакет маскируется под безобидную утилиту для наборов Python и очень похож на популярные библиотеки, такие как python-utils и utils, имеющие обширную базу пользователей.
Угроза и механизм работы
Обман привел к более чем 1000 скачиваниям с момента его появления 29 января 2025 года, что подвергло риску разработчиков и их кошельки Ethereum. set-utils специально ориентирован на тех, кто занимается созданием кошельков Ethereum и управлением ими с использованием библиотек на основе Python, таких как eth-account. Его принцип работы заключается в перехвате процессов создания учетной записи Ethereum для облегчения извлечения закрытых ключей.
Технические детали атаки
Злоумышленники используют конечную точку RPC Polygon, rpc-amoy.polygon, которая служит сервером управления (C2) и позволяет им передавать украденные учетные данные посредством блокчейн-транзакций. Это делает обнаружение с помощью традиционных мер безопасности чрезвычайно сложным.
Дизайн пакета set-utils иллюстрирует сложную стратегию атаки:
- В него встроен жестко запрограммированный открытый ключ RSA для шифрования закрытых ключей перед передачей.
- Этот механизм скрытой кражи работает в фоновом режиме, что снижает вероятность обнаружения при обычном использовании.
Примечательно, что даже если пользователи удаляют вредоносный пакет, все кошельки Ethereum, созданные во время его работы, остаются скомпрометированными. Последствия этого серьезны для различных целей, включая:
- Разработчиков блокчейнов, использующих eth-счета
- Проекты децентрализованного финансирования (DeFi)
- Криптобиржи
- Частных лиц, управляющих личными кошельками Ethereum с помощью скриптов на основе Python
Рекомендации по защите
Следовательно, разработчики должны принимать упреждающие меры для защиты своих цепочек поставок программного обеспечения. Рекомендации включают:
- Проведение регулярных проверок зависимостей.
- Использование автоматизированных средств сканирования для выявления вредоносного поведения в пакетах сторонних производителей.
Такие инструменты, как приложение GitHub от Socket, могут помочь в мониторинге в режиме реального времени и выявлении подозрительных пакетов перед внедрением в производственные системы. Кроме того, интеграция интерфейса Socket CLI во время установки и использование его расширения для браузера могут обеспечить защиту в режиме реального времени от потенциально вредоносных загрузок.
Заключение
Появление set-utils подчеркивает необходимость бдительности разработчиков в сфере блокчейна, выделяя важность надежных протоколов безопасности для снижения рисков атак на цепочки поставок. Осведомленность и своевременные действия имеют решающее значение для поддержания целостности управления кошельком Ethereum и защиты активов пользователей от вредоносного использования.
Команда PyPI получила сообщение о вредоносном пакете, который был оперативно удален, чтобы предотвратить дальнейшее использование.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
