Peneliti cybersecurity telah menemukan paket Python berbahaya di repositori Python Package Index (PYPI) yang diperlengkapi untuk mencuri kunci pribadi Ethereum korban dengan menyamar sebagai perpustakaan populer.
Paket yang dimaksud adalah set-utils, yang telah menerima 1.077 unduhan hingga saat ini. Ini tidak lagi tersedia untuk diunduh dari registri resmi.
“Menyamar sebagai utilitas sederhana untuk set Python, paket meniru perpustakaan yang banyak digunakan seperti Python-utils (712m + unduhan) dan utils (23,5m + unduhan),” kata soket perusahaan keamanan rantai pasokan perangkat lunak.
“Penipuan ini menipu pengembang yang tidak curiga untuk memasang paket yang dikompromikan, memberikan penyerang akses tidak sah ke dompet Ethereum.”
Paket ini bertujuan untuk menargetkan pengembang dan organisasi Ethereum yang bekerja dengan aplikasi blockchain yang berbasis di Python, khususnya perpustakaan manajemen dompet berbasis Python seperti ETH-Account.
Selain menyematkan kunci publik RSA penyerang untuk digunakan untuk mengenkripsi data yang dicuri dan akun pengirim Ethereum di bawah kendali mereka, perpustakaan mengaitkan ke dalam fungsi pembuatan dompet seperti “from_key ()” dan “from_mnewmonic ()” untuk mencegat kunci pribadi seperti yang dihasilkan pada mesin yang dikompromikan.
Dalam twist yang menarik, kunci pribadi dieksfiltrasi dalam transaksi blockchain melalui titik akhir poligon RPC “rpc-amoy.polygon.technology” dalam upaya untuk menolak upaya deteksi tradisional yang memantau permintaan HTTP yang mencurigakan.
“Ini memastikan bahwa bahkan ketika pengguna berhasil membuat akun Ethereum, kunci pribadi mereka dicuri dan dikirim ke penyerang,” kata Socket. “Fungsi jahat berjalan di utas latar belakang, membuat deteksi menjadi lebih sulit.”
