Los investigadores de ciberseguridad han descubierto un paquete ladino en el repositorio de Python Package Index (PYPI) que pretende ser una aplicación relacionada con la dependencia de bloques Solana, pero contiene funcionalidad maliciosa para robar el código fuente y los secretos del desarrollador.
El paquete, llamado Solana-Token, ya no está habitable para descargar desde Pypi, pero no antaño de que se descargara 761 veces. Se publicó por primera vez a PYPI a principios de abril de 2024, aunque con un esquema de numeración de interpretación completamente diferente.
“Cuando se instala, el paquete ladino intenta exfiltrar el código fuente y los secretos del desarrollador de la máquina del desarrollador a una dirección IP codificada”, dijo el investigador de reversinglabs Karlo Zanki en un mensaje compartido con las parte de Hacker.
En particular, el paquete está diseñado para copiar y exfiltrar el código fuente contenido en todos los archivos en la pila de ejecución de Python bajo la disfraz de una función blockchain emplazamiento “registro_node ()”.
Este comportamiento inusual sugiere que los atacantes están buscando exfiltrarse de secretos criptográficos sensibles que pueden estar codificados en las primeras etapas de escribir un software que incorpora la función maliciosa en cuestión.
Se cree que los desarrolladores que buscan crear sus propias cadenas de bloques eran los objetivos probables de los actores de amenaza detrás del paquete. Esta evaluación se basamento en el nombre del paquete y las funciones integradas en él.
Actualmente no se conoce el método exacto por el cual el paquete puede haberse distribuido a los usuarios, aunque es probable que se haya promovido en plataformas centradas en el desarrollador.
En todo caso, el descubrimiento subraya el hecho de que la criptomoneda sigue siendo uno de los objetivos más populares para los actores de amenaza de la dependencia de suministro, lo que requiere que los desarrolladores tomen medidas para analizar cada paquete antaño de usarlo.
“Los equipos de progreso deben monitorear agresivamente actividades sospechosas o cambios inexplicables tanto en módulos de software de código hendido y comercial de terceros”, dijo Zanki. “Al detener el código ladino antaño de que se le permita penetrar entornos de progreso seguros, los equipos pueden preparar el tipo de ataques destructivos de la dependencia de suministro”.
