Stealer de claves privadas de Ethereum oculto en PyPI

Iniciado por AXCESS, Marzo 06, 2025, 11:11:38 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 06, 2025, 11:11:38 PM


Un paquete malicioso Python Package Index (PyPI) llamado "set-utils" ha estado robando claves privadas de Ethereum a través de funciones de creación de billeteras interceptadas y filtrándolas a través de la cadena de bloques Polygon.

El paquete se disfraza como una utilidad para Python, imitando al popular "python-utils", que tiene más de 712 millones de descargas, y "utils", que cuenta con más de 23,5 millones de instalaciones.

Los investigadores de la plataforma de ciberseguridad para desarrolladores Socket descubrieron el paquete malicioso e informaron que set-utils se había descargado más de mil veces desde su envío a PyPI el 29 de enero de 2025.

La empresa de seguridad de la cadena de suministro de código abierto informa que los ataques se dirigen principalmente a los desarrolladores de cadenas de bloques que utilizan "eth-account" para la creación y gestión de billeteras, proyectos DeFi basados en Python, aplicaciones Web3 con soporte para Ethereum y billeteras personales que utilizan la automatización de Python.

El paquete malicioso en PyPI


Como el paquete malicioso está dirigido a proyectos de criptomonedas, aunque solo hubo mil descargas, podría afectar a una cantidad mucho mayor de personas que usaron las aplicaciones para generar billeteras.

Robo sigiloso de claves de Ethereum

El paquete malicioso set-utils incorpora la clave pública RSA del atacante para usarla para cifrar los datos robados y una cuenta de remitente de Ethereum controlada por el atacante.

El paquete se conecta a las funciones estándar de creación de billeteras de Ethereum como 'from_key()' y 'from_mnewmonic()' para interceptar las claves privadas a medida que se generan en la máquina comprometida.

Luego, cifra la clave privada robada y la integra en el campo de datos de una transacción de Ethereum antes de enviarla a la cuenta del atacante a través del punto final Polygon RPC "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta".

Exfiltración de claves privadas robadas


En comparación con los métodos tradicionales de exfiltración de red, la incorporación de datos robados en transacciones de Ethereum es mucho más sigilosa y más difícil de distinguir de la actividad legítima.

Los firewalls y las herramientas antivirus suelen monitorear las solicitudes HTTP, pero no las transacciones de blockchain, por lo que es poco probable que este método genere alertas o se bloquee.

Además, las transacciones de Polygon tienen tarifas de procesamiento muy bajas, no se aplica ningún límite de velocidad a las transacciones pequeñas y ofrecen puntos finales RPC públicos gratuitos, por lo que los actores de amenazas no necesitan configurar su propia infraestructura.

Una vez que se realiza el proceso de exfiltración, el atacante puede recuperar los datos robados en cualquier momento, ya que la información robada se almacena de forma permanente en la blockchain.

El paquete set-utils se eliminó de PyPI después de su descubrimiento. Sin embargo, los usuarios y desarrolladores de software que lo incorporaron a sus proyectos deben desinstalarlo de inmediato y asumir que todas las billeteras Ethereum creadas están comprometidas.

Si dichas billeteras contienen fondos, se recomienda moverlas a otra billetera lo antes posible, ya que corren el riesgo de ser robadas en cualquier momento.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario