07 mars 2025Ravie LakshmananMalware / blockchain

Les chercheurs en cybersécurité ont découvert un package Python malveillant sur le référentiel Python Package Index (PYPI) qui est équipé pour voler les clés privées Ethereum d’une victime en usurpant l’identité de bibliothèques populaires.

Le package en question est set-utilsqui a reçu 1 077 téléchargements à ce jour. Il n’est plus disponible en téléchargement à partir du registre officiel.

“Disgué en un utilitaire simple pour les ensembles de python, le package imite les bibliothèques largement utilisées comme Python-utils (712m + téléchargements) et les utils (23,5m + téléchargements)” dit.

“Cette tromperie informe les développeurs sans méfiance dans l’installation du package compromis, accordant aux attaquants un accès non autorisé aux portefeuilles Ethereum.”

Cybersécurité

Le package vise à cibler les développeurs et les organisations Ethereum travaillant avec des applications de blockchain basées sur Python, en particulier les bibliothèques de gestion des portefeuilles basées sur Python comme Eth-Account.

Paquet PYPI malveillant

En plus d’incorporer la clé publique RSA de l’attaquant à utiliser pour chiffrer les données volées et un compte Ethereum Sender sous leur contrôle, la bibliothèque accroche des fonctions de création de portefeuille comme “From_key ()” et “From_mnewMonic ()” pour intercepter les clés privées car elles sont générées sur la machine compromise.

Dans une tournure intéressante, les touches privées sont exfiltrées dans les transactions de blockchain via le point de terminaison RPC du polygone “RPC-AMOY.Polygon.Technology” dans le but de résister aux efforts de détection traditionnels qui surveillent les demandes http suspectes.

“Cela garantit que même lorsqu’un utilisateur crée avec succès un compte Ethereum, sa clé privée est volée et transmise à l’attaquant”, a déclaré Socket. “La fonction malveillante fonctionne dans un fil d’arrière-plan, ce qui rend la détection encore plus difficile.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57