“Set-Utils” adlı kötü niyetli bir Python Paket Dizin (PYPI) paketi, Ethereum özel anahtarlarını durdurulan cüzdan oluşturma işlevleri aracılığıyla çalıyor ve bunları çokgen blockchain aracılığıyla püskürtür.
Paket, kendisini Python için bir fayda olarak gizler, 712 milyondan fazla indirme olan popüler “Python-Utils” i ve 23.5 milyondan fazla kurulum sayan “Utils” i taklit eder.
Geliştirici siber güvenlik platformu soketinden araştırmacılar, kötü amaçlı paketi keşfetti ve 29 Ocak 2025’te PYPI’ya gönderilmesinden bu yana set-UTILS’in bin kattan fazla indirildiğini bildirdi.
Açık kaynaklı tedarik zinciri güvenlik firması, saldırıların öncelikle cüzdan oluşturma ve yönetimi için ‘ett-hesap’ kullanan blockchain geliştiricilerini, Python tabanlı DEFI projeleri, Ethereum destekli Web3 uygulamaları ve Python otomasyonunu kullanarak kişisel cüzdanları hedeflediğini bildiriyor.
Kaynak: soket
Kötü niyetli paket kripto para birimi projelerini hedeflediğinden, sadece bin indirme olmasına rağmen, uygulamaları cüzdan oluşturmak için kullanan çok daha fazla sayıda insanı etkileyebilir.
Gizli Ethereum Keys Hırsızlığı
Kötü amaçlı set-UTILS paketi, çalınan verileri şifrelemek için kullanılacak saldırganın RSA genel anahtarını ve saldırgan tarafından kontrol edilen bir Ethereum gönderen hesabını yerleştirir.
Paket, özel anahtarları, uzlaşmış makinede üretildikçe kesmek için ‘from_key ()’ ve ‘from_mnewmonic ()’ gibi standart Ethereum cüzdan oluşturma işlevlerine bağlanır.
Daha sonra çalınan özel anahtarı şifreler ve bir Ethereum işleminin veri alanına, saldırganın hesabına “rpc-amoy.polygon.technology/” aracılığıyla gönderilmeden önce yerleştirir.
Kaynak: soket
Geleneksel ağ eksfiltrasyon yöntemleriyle karşılaştırıldığında, çalıntı verilerin Ethereum işlemlerine gömülmesi, meşru faaliyetlerden ayırt etmek için çok daha gizli ve daha zordur.
Güvenlik duvarları ve antivirüs araçları genellikle HTTP isteklerini izler, ancak blockchain işlemlerini izlemez, bu nedenle bu yöntemin herhangi bir bayrağı yükseltmesi veya engellenmesi olası değildir.
Ayrıca, çokgen işlemlerinin çok düşük işlem ücretleri vardır, küçük işlemler için hiçbir oran sınırlama uygulanmaz ve ücretsiz kamu RPC uç noktaları sunar, bu nedenle tehdit aktörlerinin kendi altyapılarını kurmaları gerekmez.
Eksfiltrasyon işlemi yapıldıktan sonra, çalınan bilgiler blok zincirinde kalıcı olarak saklandığı için saldırgan çalınan verileri istediği zaman alabilir.
Set-Utils paketi, keşfinden sonra PYPI’dan kaldırıldı. Bununla birlikte, projelerine dahil eden kullanıcılar ve yazılım geliştiricileri derhal kaldırmalı ve oluşturulan herhangi bir Ethereum cüzdanının tehlikeye atıldığını varsaymalıdır.
Söz konusu cüzdanlar fon içeriyorsa, her an çalınma riski altında oldukları için onları mümkün olan en kısa sürede başka bir cüzdana taşımanız önerilir.