Los investigadores de ciberseguridad han descubierto un paquete de Python malicioso en el repositorio de Python Package Index (PYPI) que está equipado para robar las claves privadas de Ethereum de una víctima al hacerse pasar por bibliotecas populares.
El paquete en cuestión es Set-Utils, que ha recibido 1,077 descargas hasta la fecha. Ya no está disponible para descargar desde el registro oficial.
«Disfrazado de una utilidad simple para los conjuntos de Python, el paquete imita bibliotecas ampliamente utilizadas como Python-Utils (712m + descargas) y Utils (23.5m + descargas)», dijo Software Supply Supply Company Socket.
«Este engaño hace trucos a los desarrolladores de los desarrolladores para instalar el paquete comprometido, otorgando a los atacantes el acceso no autorizado a las billeteras Ethereum».
El paquete tiene como objetivo dirigirse a los desarrolladores y organizaciones de Ethereum que trabajan con aplicaciones de blockchain con sede en Python, particularmente bibliotecas de gestión de billeteras con sede en Python como ETH-cuenta.
Además de incorporar la clave pública RSA del atacante que se utilizará para encriptar los datos robados y una cuenta de remitente de Ethereum bajo su control, la biblioteca se conecta a funciones de creación de billeteras como «from_key ()» y «from_mnewmonic ()» para interceptar claves privadas a medida que se generan en la máquina comprometida.
En un giro interesante, las teclas privadas se exfiltran dentro de las transacciones de blockchain a través del punto final Polygon RPC «RPC-AMOY.Polygon.Technology» en un intento por resistir los esfuerzos de detección tradicionales que supervisan las solicitudes HTTP sospechosas.
«Esto asegura que incluso cuando un usuario crea con éxito una cuenta de Ethereum, su clave privada es robada y transmitida al atacante», dijo Socket. «La función maliciosa se ejecuta en un hilo de fondo, lo que hace que la detección sea aún más difícil».
