Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) que se hace pasar por una biblioteca de la plataforma blockchain Solana, pero en realidad está diseñado para robar los secretos de las víctimas.
«El proyecto legítimo Solana Python API se conoce como ‘solana-py’ en GitHub, pero simplemente ‘solana» en el registro de software Python, PyPI», dijo el investigador de Sonatype Ax Sharma dicho En un informe publicado la semana pasada se afirma que «un actor de amenazas aprovechó esta pequeña discrepancia en los nombres al publicar un proyecto ‘solana-py’ en PyPI».
El paquete malicioso «solana-py» atrajo un total de 1.122 descargas desde que se publicó el 4 de agosto de 2024. Ya no está disponible para descargar desde PyPI.
El aspecto más llamativo de la biblioteca es que lleva los números de versión 0.34.3, 0.34.4 y 0.34.5. La última versión del paquete legítimo «solana» es la 0.34.3. Esto indica claramente un intento por parte del actor de amenazas de engañar a los usuarios que buscan «solana» para que descarguen inadvertidamente «solana-py».
Es más, el paquete fraudulento toma prestado el código real de su contraparte, pero inyecta código adicional en el script «__init__.py» que es responsable de recolectar las claves de la billetera blockchain de Solana del sistema.
Esta información luego se filtra a un dominio Hugging Face Spaces operado por el actor de amenazas («treeprime-gen.hf[.]espacio»), lo que subraya una vez más cómo los actores de amenazas están abusando servicios legítimos con fines maliciosos.
La campaña de ataque plantea un riesgo para la cadena de suministro, ya que la investigación de Sonatype descubrió que bibliotecas legítimas como «solders» hacen referencias a «solana-py» en sus Documentación de PyPIlo que llevó a un escenario en el que los desarrolladores podrían haber descargado por error «solana-py» de PyPI y haber ampliado la superficie de ataque.
«En otras palabras, si un desarrollador que usa el paquete legítimo PyPI ‘solders’ en su aplicación es engañado (por la documentación de solders) y cae en el proyecto ‘solana-py’, que ha sufrido errores tipográficos, introducirá sin darse cuenta un ladrón de criptomonedas en su aplicación», explicó Sharma.
«Esto no sólo robaría sus secretos, sino también los de cualquier usuario que ejecute la aplicación del desarrollador».
La revelación se produce cuando Phylum dijo que identificó cientos de miles de paquetes npm spam en el registro que contienen marcadores de abuso del protocolo Tea, una campaña que salió a la luz por primera vez en abril de 2024.
«El proyecto del Protocolo del Té es tomando medidas Para remediar este problema», dijo la empresa de seguridad de la cadena de suministro. dicho«Sería injusto que los participantes legítimos en el protocolo Tea vieran reducida su remuneración porque otros están estafando al sistema. Además, npm ha comenzado a Acabar con algunos de estos spammerspero la tasa de eliminación no coincide con la nueva tasa de publicación».