Peneliti cybersecurity telah mengungkapkan paket jahat yang diunggah ke repositori Python Package Index (PYPI) yang dirancang untuk mengubah pesanan perdagangan yang ditempatkan pada pertukaran cryptocurrency MEXC ke server jahat dan mencuri token.
Paket, CCXT-Mexc-Futures, dimaksudkan untuk menjadi ekstensi yang dibangun di atas perpustakaan Python populer bernama CCXT (kependekan dari Cryptocurrency Exchange Trading), yang digunakan untuk terhubung dan berdagang dengan beberapa pertukaran cryptocurrency dan memfasilitasi layanan pemrosesan pembayaran.
Paket berbahaya tidak lagi tersedia di PYPI, tetapi statistik pada pepy.tech menunjukkan bahwa itu telah diunduh setidaknya 1.065 kali.
“Penulis paket Futures CCXT-MEXC berbahaya, klaim dalam file ReadMe bahwa mereka memperluas paket CCXT untuk mendukung perdagangan 'Futures' di MEXC,” kata peneliti JFROG Guy Korolevski dalam laporan yang dibagikan dengan Hacker News.
Namun, pemeriksaan yang lebih dalam dari perpustakaan telah mengungkapkan bahwa secara khusus mengesampingkan dua API yang terkait dengan antarmuka MEXC – kontrak_private_post_order_submit dan kontrak_private_post_order_cancel – dan memperkenalkan yang baru bernama spot4_private_post_order_place.
Dengan melakukan hal itu, idenya adalah untuk menipu pengembang agar memanggil titik akhir API ini untuk membuat, membatalkan, atau menempatkan pesanan perdagangan di pertukaran MEXC dan secara diam -diam melakukan tindakan jahat di latar belakang.
Modifikasi berbahaya khususnya menargetkan tiga fungsi terkait MEXC yang berbeda yang ada di perpustakaan CCXT asli, yaitu. ֵ Jelaskan, tanda tangani, dan persiapkan_request_headers.
Hal ini memungkinkan untuk menjalankan kode sewenang -wenang pada mesin lokal di mana paket diinstal, secara efektif mengambil muatan JSON dari domain palsu yang meniru MEXC (“v3.mexc.workers[.]dev “), yang berisi konfigurasi untuk mengarahkan API yang ditimpa ke platform pihak ketiga yang berbahaya (” Greentreeone[.]com “) Berbeda dengan situs web MEXC yang sebenarnya.
“Paket membuat entri di API untuk integrasi MEXC, menggunakan API yang mengarahkan permintaan ke domain Greentreeone[.]com, dan bukan situs MEXC Mexc.com, “kata Korolevski.
“Semua permintaan dialihkan ke domain yang ditetapkan oleh para penyerang, memungkinkan mereka untuk membajak semua token crypto korban dan informasi sensitif yang ditransfer dalam permintaan, termasuk kunci dan rahasia API.”
Terlebih lagi, paket penipuan direkayasa untuk mengirim kunci API MEXC dan kunci rahasia ke domain yang dikendalikan penyerang setiap kali permintaan dikirim untuk membuat, membatalkan, atau melakukan pemesanan.
Pengguna yang telah menginstal Futures CCXT-MEXC disarankan untuk mencabut token yang berpotensi dikompromikan dan menghapus paket dengan efek langsung.
Pengembangan datang ketika Socket mengungkapkan bahwa aktor ancaman memanfaatkan paket palsu di seluruh ekosistem NPM, PYPI, GO, dan Maven untuk meluncurkan cangkang terbalik untuk mempertahankan data kegigihan dan exfiltrate.
“Pengembang atau organisasi yang tidak curiga mungkin secara tidak sengaja termasuk kerentanan atau ketergantungan berbahaya dalam basis kode mereka, yang dapat memungkinkan data sensitif atau sabotase sistem jika tidak terdeteksi,” kata perusahaan keamanan rantai pasokan perangkat lunak.
Ini juga mengikuti penelitian baru yang menggali bagaimana model bahasa besar (LLM) yang mendukung alat-alat generatif kecerdasan buatan (AI) dapat membahayakan rantai pasokan perangkat lunak dengan berhalusinasi paket yang tidak ada dan merekomendasikannya kepada pengembang.
Ancaman rantai pasokan mulai berlaku ketika aktor jahat mendaftar dan menerbitkan paket-paket yang dicampur dengan malware dengan nama-nama berhalusinasi untuk repositori sumber terbuka, menginfeksi sistem pengembang dalam proses-teknik yang disebut slopsquatting.
Studi akademik menemukan bahwa “persentase rata-rata paket berhalusinasi setidaknya 5,2% untuk model komersial dan 21,7% untuk model open-source, termasuk 205.474 contoh unik dari nama paket berhalusinasi, lebih lanjut menggarisbawahi keparahan dan kesesuaian ancaman ini.”
