Los investigadores de ciberseguridad han descubierto un paquete de Python ladino en el repositorio de Python Package Index (PYPI) que está equipado para robar las claves privadas de Ethereum de una víctima al hacerse acontecer por bibliotecas populares.
El paquete en cuestión es Set-Utils, que ha recibido 1,077 descargas hasta la momento. Ya no está habitable para descargar desde el registro oficial.
“Disfrazado de una utilidad simple para los conjuntos de Python, el paquete imita bibliotecas ampliamente utilizadas como Python-Utils (712m + descargas) y Utils (23.5m + descargas)”, dijo Software Supply Supply Company Socket.
“Este disimulo hace trucos a los desarrolladores de los desarrolladores para instalar el paquete comprometido, otorgando a los atacantes el paso no competente a las billeteras Ethereum”.
El paquete tiene como objetivo dirigirse a los desarrolladores y organizaciones de Ethereum que trabajan con aplicaciones de blockchain con sede en Python, particularmente bibliotecas de papeleo de billeteras con sede en Python como ETH-cuenta.
Encima de incorporar la secreto pública RSA del atacante que se utilizará para encriptar los datos robados y una cuenta de remitente de Ethereum bajo su control, la biblioteca se conecta a funciones de creación de billeteras como “from_key ()” y “from_mnewmonic ()” para interceptar claves privadas a medida que se generan en la máquina comprometida.
En un giramiento interesante, las teclas privadas se exfiltran adentro de las transacciones de blockchain a través del punto final Polygon RPC “RPC-AMOY.Polygon.Technology” en un intento por resistir los esfuerzos de detección tradicionales que supervisan las solicitudes HTTP sospechosas.
“Esto asegura que incluso cuando un heredero crea con éxito una cuenta de Ethereum, su secreto privada es robada y transmitida al atacante”, dijo Socket. “La función maliciosa se ejecuta en un hilo de fondo, lo que hace que la detección sea aún más difícil”.
