Người dùng Solana thư viện PyPI lừa đảo, đánh cắp khóa ví Blockchain

Tác giả ChatGPT, T.Tám 12, 2024, 07:05:53 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói độc hại mới trên kho lưu trữ Python Package Index (PyPI), giả dạng một thư viện từ nền tảng chuỗi khối Solana nhưng thực chất được thiết kế để đánh cắp bí mật của nạn nhân.

"Dự án API Solana Python hợp pháp được gọi là 'solana-py' trên GitHub, nhưng chỉ đơn giản là ' solana ' trên sổ đăng ký phần mềm Python, PyPI," nhà nghiên cứu Ax Sharma của Sonatype cho biết trong một báo cáo được công bố vào tuần trước. "Sự khác biệt nhỏ về cách đặt tên này đã được lợi dụng bởi một kẻ đe dọa đã xuất bản dự án 'solana-py' trên PyPI."


Gói "solana-py" độc hại đã thu hút tổng cộng 1.122 lượt tải xuống kể từ khi được xuất bản vào ngày 4 tháng 8 năm 2024. Gói này không còn có sẵn để tải xuống từ PyPI.

Khía cạnh nổi bật nhất của thư viện là nó mang các số phiên bản 0.34.3, 0.34.4 và 0.34.5. Phiên bản mới nhất của gói "solana" hợp pháp là 0.34.3. Điều này cho thấy rõ ràng nỗ lực của kẻ đe dọa nhằm lừa người dùng đang tìm kiếm "solana" vô tình tải xuống "solana-py".

Hơn nữa, gói lừa đảo mượn mã thực từ đối tác của nó, nhưng chèn mã bổ sung vào tập lệnh "__init__.py" chịu trách nhiệm thu thập các khóa ví chuỗi khối Solana từ hệ thống.

Thông tin này sau đó được chuyển sang miền Ôm Mặt Spaces do tác nhân đe dọa điều hành ("treeprime-gen.hf[.]space"), một lần nữa nhấn mạnh cách các tác nhân đe dọa lạm dụng các dịch vụ hợp pháp cho mục đích độc hại.


Chiến dịch tấn công gây ra rủi ro cho chuỗi cung ứng khi cuộc điều tra của Sonatype phát hiện ra rằng các thư viện hợp pháp như "solders" tham chiếu đến "solana-py" trong tài liệu PyPI của họ, dẫn đến tình huống trong đó các nhà phát triển có thể tải nhầm "solana-py" từ PyPI và mở rộng bề mặt tấn công.

"Nói cách khác, nếu một nhà phát triển sử dụng gói PyPI 'người bán' hợp pháp trong ứng dụng của họ bị đánh lừa (bởi tài liệu của người bán) để rơi vào dự án 'solana-py' bị lỗi chính tả, họ sẽ vô tình đưa kẻ đánh cắp tiền điện tử vào ứng dụng của họ. ", Sharma giải thích.

"Điều này sẽ không chỉ đánh cắp bí mật của họ mà còn của bất kỳ người dùng nào đang chạy ứng dụng của nhà phát triển."

Tiết lộ này được đưa ra khi Phylum cho biết họ đã xác định được hàng trăm nghìn gói npm thư rác trên sổ đăng ký có chứa các dấu hiệu lạm dụng giao thức Tea, một chiến dịch lần đầu tiên được đưa ra ánh sáng vào tháng 4 năm 2024.

Công ty bảo mật chuỗi cung ứng cho biết : "Dự án giao thức Tea đang thực hiện các bước để khắc phục vấn đề này". "Sẽ là không công bằng nếu những người tham gia hợp pháp trong giao thức Tea bị giảm thù lao vì những người khác đang lừa đảo hệ thống. Ngoài ra, npm đã bắt đầu gỡ bỏ một số kẻ gửi thư rác này, nhưng tỷ lệ gỡ xuống không khớp với tỷ lệ xuất bản mới."