
Los investigadores de seguridad cibernética han revelado un paquete malicioso cargado en el repositorio del índice de paquetes de Python (PYPI) que está diseñado para redirigir órdenes comerciales realizadas en el Mexc Intercambio de criptomonedas a un servidor malicioso y robar tokens.
El paquete, CCXT-MEXC-FUTUROS, pretende ser una extensión construida sobre una popular biblioteca de Python nombrada ccxt (Abreviatura del comercio de intercambio de criptomonedas), que se utiliza para conectarse y comerciar con varios intercambios de criptomonedas y facilitar los servicios de procesamiento de pagos.
El paquete malicioso ya no está disponible en PYPI, pero las estadísticas en Pepy.tech muestran que se ha descargado al menos 1.065 veces.
“Los autores del paquete malicioso de CCXT-MEXC-Futures, afirman en su archivo ReadMe que extiende el paquete CCXT a Apoya el comercio de ‘futuros’ En MEXC, “Jfrog Investigador Guy Korolevski dicho En un informe compartido con The Hacker News.
Sin embargo, un examen más profundo de la biblioteca ha revelado que anula específicamente dos API asociadas con la interfaz MEXC: contract_private_post_order_submit y contract_private_post_order_cancel, e introduce una nueva llamada SPOT4_POST_POST_ORD_ORD_PLACE.
Al hacerlo, la idea es engañar a los desarrolladores para que llame a estos puntos finales de API para crear, cancelar o realizar una orden comercial en el intercambio MEXC y realizar sigilosamente acciones maliciosas en segundo plano.
Las modificaciones maliciosas se dirigen particularmente a tres funciones diferentes relacionadas con MEXC presentes en la biblioteca CCXT original, a saber. ֵ Describa, firme y prepare_request_headers.
Esto hace posible ejecutar código arbitrario en la máquina local en la que se instala el paquete, recuperando efectivamente una carga útil JSON de un dominio falso que se suxa MEXC (“v3.mexc.workers[.]dev “), que contiene una configuración para dirigir las API anuladas a una plataforma de terceros maliciosa (” GreentreeOne[.]com “) en oposición al sitio web real de MEXC.
“El paquete crea entradas en la API para la integración de MEXC, utilizando una API que dirige las solicitudes al dominio GreentreeOne[.]com, y no el sitio de MexC mexc.com “, dijo Korolevski.
“Todas las solicitudes se redirigen al dominio establecido por los atacantes, lo que les permite secuestrar todas las tokens criptográficas de la víctima y la información confidencial transferida en la solicitud, incluidas las claves y los secretos API”.
Además, el paquete fraudulento está diseñado para enviar la clave API MEXC y la clave secreta al dominio controlado por el atacante cada vez que se envía una solicitud para crear, cancelar o realizar un pedido.
Se recomienda que los usuarios que hayan instalado los efectos de CCXT-MEXC revocen cualquier tokens potencialmente comprometido y elimine el paquete con efecto inmediato.
El desarrollo se produce como socket reveló Esa amenaza que los actores están utilizando los ecosistemas falsificados en los ecosistemas de NPM, PYPI, GO y Maven para lanzar una capa inversa para mantener la persistencia y el exfiltrado de datos.
“Los desarrolladores u organizaciones desprevenidos podrían incluir sin darse cuenta vulnerabilidades o dependencias maliciosas en su base de código, lo que podría permitir datos confidenciales o sabotaje del sistema si no se detecta”, dijo la compañía de seguridad de la cadena de suministro de software.
También sigue una nueva investigación que profundiza en cómo los modelos de idiomas grandes (LLMS) que alimentan las herramientas generativas de inteligencia artificial (IA) podrían poner en peligro La cadena de suministro de software alucinando paquetes inexistentes y recomendándolos a los desarrolladores.
La amenaza de la cadena de suministro entra en juego cuando los actores maliciosos se registran y publican paquetes con malware con los nombres alucinados a repositorios de código abierto, infectando a los sistemas de desarrolladores en el proceso, una técnica que se conoce como slopsquatting.
El estudio académico encontró que “el porcentaje promedio de paquetes alucinados es al menos 5.2% para modelos comerciales y 21.7% para modelos de código abierto, incluidos los asombrosos 205,474 ejemplos únicos de nombres de paquetes alucinados, subrayando aún más la gravedad y la omnipresencia de esta amenaza”.






