I ricercatori di Cybersecurity hanno scoperto un pacchetto Python dannoso sul repository Python Package deal Index (PYPI) che è attrezzato per rubare le chiavi non-public Ethereum di una vittima impersonando le biblioteche popolari.
Il pacchetto in questione è set-otilsche ha ricevuto 1.077 obtain advert oggi. Non è più disponibile per il obtain dal registro ufficiale.
“Travestito come una semplice utilità per i set Python, il pacchetto imita librerie ampiamente utilizzate come Python-Utils (712m + obtain) e utils (23,5 m + obtain)”, Società di società di sicurezza della catena di fornitura software program disse.
“Questo inganno inganna gli sviluppatori ignari nell’installazione del pacchetto compromesso, concedendo agli aggressori l’accesso non autorizzato ai portafogli Ethereum.”
Il pacchetto mira a prendere di mira gli sviluppatori e le organizzazioni Ethereum che lavorano con applicazioni blockchain con sede a Python, in particolare le librerie di gestione del portafoglio basate su Python come ETH-Account.
Oltre a incorporare la chiave pubblica RSA dell’attaccante da utilizzare per crittografare i dati rubati e un account di mittente Ethereum sotto il loro controllo, la biblioteca si aggancia alle funzioni di creazione del portafoglio come “From_key ()” e “From_mnewmonic ()” per intercettare le chiavi non-public mentre sono generate sulla macchina compromessa.
In una svolta interessante, le chiavi non-public sono esfiltrate nelle transazioni blockchain tramite l’endpoint RPC poligono “RPC-Amoy.polygon.expertise” nel tentativo di resistere agli sforzi di rilevamento tradizionali che monitorano le richieste di HTTP sospette.
“Ciò garantisce che anche quando un utente crea con successo un account Ethereum, la loro chiave privata viene rubata e trasmessa all’attaccante”, ha detto Socket. “La funzione dannosa funziona in un thread di sfondo, rendendo il rilevamento ancora più difficile.”
