- 19,438
- 40
- 8 Ноя 2022
В тени популярных библиотек затаился хакер, жаждущий ваших цифровых активов.
Исследователи безопасности из компании Socket Для просмотра ссылки Войдиили Зарегистрируйся вредоносный пакет PyPI под названием «set-utils», который перехватывал функции создания криптокошельков и отправлял украденные приватные ключи через блокчейн Polygon.
Пакет маскировался под полезную библиотеку для Python, имитируя «python-utils» с 712 миллионами загрузок, а также «utils», установленный более 23,5 миллиона раз. Специалисты обнаружили угрозу и сообщили, что «set-utils» загрузили более тысячи раз с момента его размещения на PyPI 29 января 2025 года.
Атака была направлена на разработчиков блокчейн-приложений, использующих «eth-account» для управления кошельками, проекты DeFi на Python, Web3-приложения с поддержкой Ethereum и пользователей, автоматизирующих создание кошельков с помощью Python. Несмотря на относительно небольшое количество загрузок, атака могла затронуть значительно большее число пользователей, использующих эти кошельки.
Вредоносный пакет содержал публичный RSA-ключ злоумышленников, который использовался для шифрования украденных данных, а также Ethereum-аккаунт атакующих. Он внедрялся в стандартные функции генерации кошельков, такие как «from_key()» и «from_mnemonic()», перехватывая приватные ключи при их создании.
После кражи ключи шифровались и вставлялись в поле данных Ethereum-транзакции, отправляемой на аккаунт злоумышленников через публичный RPC-эндпоинт Polygon. Такой метод позволял скрытно передавать данные без риска блокировки со стороны Для просмотра ссылки Войдиили Зарегистрируйся и брандмауэров, которые обычно отслеживают HTTP-запросы, но не транзакции в блокчейне.
Дополнительно использовались низкие комиссии Polygon, отсутствие лимитов для малых транзакций и доступные публичные RPC-узлы, что избавило атакующих от необходимости создавать собственную инфраструктуру. После отправки данных злоумышленники могли в любой момент получить доступ к украденной информации, так как она навсегда сохранялась в блокчейне.
После обнаружения «set-utils» был удалён с PyPI, однако разработчикам и пользователям, установившим этот пакет, следует немедленно его удалить. Все кошельки, созданные с его помощью, считаются скомпрометированными, а хранящиеся на них средства рекомендуется срочно перевести на другие кошельки, чтобы избежать кражи.
Исследователи безопасности из компании Socket Для просмотра ссылки Войди
Пакет маскировался под полезную библиотеку для Python, имитируя «python-utils» с 712 миллионами загрузок, а также «utils», установленный более 23,5 миллиона раз. Специалисты обнаружили угрозу и сообщили, что «set-utils» загрузили более тысячи раз с момента его размещения на PyPI 29 января 2025 года.
Атака была направлена на разработчиков блокчейн-приложений, использующих «eth-account» для управления кошельками, проекты DeFi на Python, Web3-приложения с поддержкой Ethereum и пользователей, автоматизирующих создание кошельков с помощью Python. Несмотря на относительно небольшое количество загрузок, атака могла затронуть значительно большее число пользователей, использующих эти кошельки.
Вредоносный пакет содержал публичный RSA-ключ злоумышленников, который использовался для шифрования украденных данных, а также Ethereum-аккаунт атакующих. Он внедрялся в стандартные функции генерации кошельков, такие как «from_key()» и «from_mnemonic()», перехватывая приватные ключи при их создании.
После кражи ключи шифровались и вставлялись в поле данных Ethereum-транзакции, отправляемой на аккаунт злоумышленников через публичный RPC-эндпоинт Polygon. Такой метод позволял скрытно передавать данные без риска блокировки со стороны Для просмотра ссылки Войди
Дополнительно использовались низкие комиссии Polygon, отсутствие лимитов для малых транзакций и доступные публичные RPC-узлы, что избавило атакующих от необходимости создавать собственную инфраструктуру. После отправки данных злоумышленники могли в любой момент получить доступ к украденной информации, так как она навсегда сохранялась в блокчейне.
После обнаружения «set-utils» был удалён с PyPI, однако разработчикам и пользователям, установившим этот пакет, следует немедленно его удалить. Все кошельки, созданные с его помощью, считаются скомпрометированными, а хранящиеся на них средства рекомендуется срочно перевести на другие кошельки, чтобы избежать кражи.
- Источник новости
- www.securitylab.ru
