一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包,通过拦截钱包创建功能窃取以太坊私钥,并通过 Polygon 区块链发送出去。
该软件包伪装成一个 Python 工具,模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。
开发人员网络安全平台 Socket 的研究人员发现了这个恶意软件包,并报告说自 2025 年 1 月 29 日在 PyPI 上提交以来,“set-utils” 已经被下载了上千次。
该开源供应链安全公司表示,攻击主要针对使用 “eth-account” 进行钱包创建和管理的区块链开发人员、基于 Python 的 DeFi 项目、支持以太坊的 Web3 应用以及使用 Python 自动化的个人钱包。
以太坊私钥的隐秘盗窃
该恶意软件包嵌入了攻击者的 RSA 公钥,用于加密被盗数据,以及一个由攻击者控制的以太坊发送账户。
该软件包会钩入标准的以太坊钱包创建函数,如 “from_key()” 和 “from_mnemonic()”,在受感染的机器上生成私钥时拦截这些私钥。
然后它会加密被盗的私钥,并将其嵌入到以太坊交易的数据字段中,再通过 Polygon RPC 端点 “rpc-amoy.polygon.technology/” 发送给攻击者的账户。
窃取的私钥外泄
与其他传统的网络数据窃取方法相比,将窃取的数据嵌入以太坊交易中更为隐蔽,也更难与合法活动区分开来。
防火墙和杀毒软件通常会监控 HTTP 请求,但不会监控区块链交易,因此这种做法不太可能引起警报或被阻止。
此外,Polygon 交易的处理费用很低,小额交易没有速率限制,还提供免费的公共 RPC 端点,因此威胁行为者不需要建立自己的基础设施。
一旦外泄过程完成,攻击者可以随时检索被盗数据,因为这些信息被永久地存储在区块链上。
“set-utils” 软件包在被发现后已从 PyPI 上移除。然而,已经将其纳入项目的用户和软件开发人员应立即卸载它,并假设创建的任何以太坊钱包都已被危及。
如果这些钱包中包含资金,建议尽快将它们转移到另一个钱包,因为这些钱包中的资金随时都可能被盗。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容