Ponad 1,000 Użytkowników Pobrało Pakiet PyPI, Który Kradł Prywatne Klucze Krypto

Złośliwy pakiet Pythona o nazwie „set-utils” został odkryty podczas kradzieży prywatnych kluczy Ethereum poprzez przejęcie funkcji tworzenia portfela.

Paczka, która naśladuje prawdziwe narzędzia Pythona, została przesłana do Python Package Index (PyPI) 29 stycznia 2025 roku, a przed jej odkryciem została pobrana ponad 1000 razy. Badacze zabezpieczeń z Socket odkryli atak i zgłosili swoje ustalenia.

Pod przykrywką prostego narzędzia do pracy z zestawami w Pythonie, set-utils oszukało programistów, skłaniając ich do jego instalacji. Jednak po uruchomieniu, bezgłośnie kradło prywatne klucze Ethereum i przesyłało je do atakujących za pośrednictwem blockchaina Polygon.

Ta metoda czyni atak trudnym do wykrycia, ponieważ większość narzędzi do cyberbezpieczeństwa monitoruje tradycyjny ruch sieciowy, ale nie oznacza transakcji blockchainowych jako podejrzane.

Atak konkretnie wymierzył się w twórców blockchain, projekty zdecentralizowanego finansowania (DeFi), krypto giełdy, aplikacje Web3 oraz osoby korzystające ze skryptów Python do zarządzania portfelami Ethereum.

Pakiet przechwycił funkcje tworzenia portfeli w bibliotekach opartych na Pythonie, takich jak eth-account, i w tle wydobywał klucze prywatne. Następnie klucze te były szyfrowane za pomocą kontrolowanego przez atakującego publicznego klucza RSA i wysyłane do sieci Polygon przez punkt końcowy RPC, skutecznie ukrywając dane w transakcjach Ethereum.

W przeciwieństwie do konwencjonalnych ataków phishingowych czy malware, ta metoda omija typowe mechanizmy obronne cyberbezpieczeństwa. Ponieważ transakcje Ethereum są trwałe, atakujący mogą odzyskać skradzione klucze w dowolnym momencie.

Nawet jeśli użytkownik odinstaluje pakiet, ich portfele pozostają narażone. Wszystkie konta Ethereum utworzone podczas aktywności set-utils powinny być uznane za niebezpieczne, a użytkownikom zaleca się natychmiastowe przeniesienie swoich funduszy do nowego, bezpiecznego portfela.

Kolejną dyskretną cechą ataku była jego zdolność do modyfikowania standardowych funkcji tworzenia portfeli bez zauważenia przez użytkownika. Złośliwy kod otaczał normalne funkcje generowania kont Ethereum, działając w tle, podczas gdy użytkownik kontynuował pracę. To gwarantowało, że każdy nowo utworzony portfel miał skradziony swój prywatny klucz.

Po jego odkryciu, set-utils został usunięty z PyPI, ale ryzyko nadal istnieje dla każdego, kto zainstalował go przed jego usunięciem. Eksperci ds. bezpieczeństwa radzą sprawdzić środowiska Pythona pod kątem tego pakietu i przeskanować pod kątem jakiegokolwiek nieautoryzowanego dostępu do portfela.

Zdarzenie to podkreśla rosnące zagrożenie atakami na łańcuch dostaw w ekosystemie open-source, gdzie złośliwe oprogramowanie jest ukrywane pod postacią pomocnych narzędzi, narażając deweloperów i ich projekty na ryzyko.